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安 卓 逆向 系列 教程 (一 ) Dalvik 指令 集 


作者 : 飞龙 


E eu. 
寄存 器 
Dalvik 指令 集 完 全 基于 寄存 器 ， 也 就 是 说 ， 没 有 栈 。 


所 有 寄存 器 都 是 32 位 ， 无 类 型 的 。 也 就 是 说 ， 虽 然 编译 器 会 为 每 个 局 部 变量 分 配 
一 个 寄存 器 ， 但 是 理论 上 一 个 寄存 器 中 可 以 存放 一 个 int ， 之 后 存放 一 
个 String (的 引用 ) ， 之 后 再 存放 一 个 别 的 东西 。 


如 果 要 处 理 64 位 的 值 ， 需 要 连续 的 两 个 寄存 器 ， 但 是 代码 中 仍然 只 写 一 个 寄存 
器 。 这 种 情况 下 ， 你 在 代码 中 看 到 的 vx 实际 上 是 指 vx 和 vx + 1 ° 


寄存 器 有 两 种 命名 方法 。 у 命名 法 简单 直接 。 假 设 一 共 分 配 了 10 个 寄存 器 ， 那 么 
我 们 可 以 用 vo 到 vo 来 命名 它们 。 








局 部 变量 可 以 使 用 的 寄存 器 “参数 可 以 使 用 的 宥 存 器 


除 此 之 外 ， 还 可 以 用 p 命名 法 来 命名 参数 所 用 的 寄存 器 ， 参 数 会 占用 后 面 的 几 个 
寄存 器 。 假如 上 面 那个 方法 是 共有 两 个 参数 的 静态 方法 ， ， 那么 ， 我 们 就 可 以 使 

用 po 和 pi 取代 v8 和 v9 。 如 果 是 实例 方法 ， 那 么 可 以 用 pg ~ p2 Ж 

代 v? -~-Vv9， 其 中 po Z this 引用 。 





局 部 变量 可 以 使 用 的 寄存 器 “参数 可 以 使 用 的 宥 存 器 


但 在 实际 的 代码 中 ， 一 般 不 会 声明 所 有 寄存 器 的 数量 ， 而 是 直接 声明 局 部 变量 所 用 
的 寄存 器 (后面 会 看 到 ) "也 就 是 说 局 部 变 量 和 参数 的 寄存 器 是 分 开 声 明 的 。 我 们 
无 需 关心 vx 是 不 是 py ， 只 需 知道 所 有 寄存 器 的 数量 是 局 部 变量 与 参数 数量 的 
fa o 


数据 类 型 


Dalvik 拥有 独特 的 数据 类 型 表示 方法 ， 并 且 和 Java 类 型 一 一 对 应 : 


Java 类 型 Dalvik 表示 
boolean 
byte 
short 


char 


O о о м 


int 


long 
float 
double 
void 
对 象 类 型 
数组 类 型 [ 


г< Оте 


其 中 对 象 类 型 由 L< 包 名 >/< 类 名 >; (完全 限定 名 称 ) 表示 ， 要 注意 末尾 有 个 分 号 › 
比如 String 表示 为 Ljava/lang/String; ° 


数组 类 型 是 [ 加 上 元 素 类 型 ， 比 如 int[] 表示 为 [I 。 左 方 括号 的 个 数 也 就 是 
数组 的 维 数 ， 比 如 int[][] 表示 为 [[I 。 


一 个 smali 文件 中 存放 一 个 类 ， 文 件 开 头 保 存 类 的 各 种 信息 。 类 的 定义 是 这 样 的 。 


.class < 权限 修饰 符 > < 非 权 限 修饰 符 > < 完全 限定 名 称 > 
.super < 超 类 的 完全 限定 名 称 > 
,SOUrce < 源 文 件 名 > 


比如 这 是 某 个 MainActivity 


.class public Lnet/flygon/myapplication/MainActivity; 
.super Landroid/app/Activity; 
.ѕоигсе "MainActivity.java" 


我 们 可 以 看 到 该 类 是 public 的 ， 完 整 名 称 
是 net.flygon.myapplication.MainActivity ， 继 承 
了 android.app.Activity ， 在 源码 中 是 MainActivity.java 。 如 果 类 


是 abstract 或 者 final 的 ， 会 在 public/private/protected 后 面 表示 。 


类 可 以 实现 接口 ， 如 果 类 实现 了 接口 ， 那 么 这 三 条 语句 下 面 会 出 
JL .implements < 接口 的 完全 限定 名 称 > 。 比 如 通常 用 于 回调 的 匿名 类 中 会 出 
现 .implements Landroid/view/View$OnClickListener; ° 


类 还 可 以 拥有 注解 ， 同 样 ， 这 三 条 语句 下 方 出 现 这 样 的 代码 : 


.annotation < 完全 限定 名 称 > 
键 = 值 


.end annotation 


这 些 语句 下 面 就 是 类 拥有 的 字段 和 方法 。 


.field < 权限 修饰 符 > < 非 权 限 修 饰 符 > < 名 称 >:< 类 型 > 


其 中 非 权 限 修饰 符 可 以 为 final 或 者 abstract ° 


比如 我 在 MainActivity 中 定义 一 个 按钮 : 


.field private buttoni:Landroid/widget/Button; 


方法 定义 
方法 定义 如 下 : 
method < 权限 修饰 符 > < 非 权 限 修 饰 符 > < 名 称 >(< 参 数 类 型 >) < 返回 值 类 型 > 


,end method 


要 注意 如 果 有 多 个 参数 ， 参 数 之 间 是 紧密 挨 着 的 ， 没 有 去 号 也 没有 空格 。 如 果 某 个 
方法 的 参数 是 int, int, String ， 那 么 应 该 表示 为 IILjava/lang/String; ° 


. locals 


方法 里 面 可 以 包含 很 多 很 多 东西 ， 可 以 说 是 反 编 译 的 重点 。 首 先 ， 方 法 开头 处 可 能 
会 含有 局 部 变量 个 数 声 明和 参数 声明 。 .locals < 个 数 > 可 以 用 于 变量 个 数 声明 ， 
比如 声明 了 ,locals 10 之 后 ， 我 们 就 可 以 直接 使 用 vO 到 v9 的 寄存 器 。 


.param 


另外 ， 参 数 虽 然 也 占用 寄存 器 ， 但 是 声明 是 不 在 一 起 的 。 .param px, "< 名 称 >" 用 
于 声明 参数 。 不 知道 是 不 是 必需 的 。 


.prologue 


之 后 .prologue 的 下 面 是 方法 中 的 代码 。 代 码 是 接 下 来 要 讲 的 东西 。 


. line 


代码 之 间 可 能 会 出 现 Une < 行 号 > ， 用 来 标识 Java 代码 中 对 应 的 行 ， 不 过 这 个 
是 非 强制 性 的 ， 修 改 之 后 对 应 不 上 也 无 所 谓 。 


. local 


还 可 能 出 现 局 部 变量 声明 ， Local vx, "<ёй>":<Ж A> 。 这 个 也 是 非 强制 性 
的 ， 只 是 为 了 让 你 清楚 哪些 是 具名 变量 ， 哪 些 是 临时 变量 。 临 时 变量 没有 这 种 声 
明 ， 照 样 正 常 工 作 。 甚 至 你 把 它 改 成 不 匹配 的 类 型 ( int AA Object ) ， 也 可 
以 正常 运行 。 


数据 定义 


指令 


const/4 vx,lit4 
const/16 vx,lit16 
const vx, lit32 


const-wide/16 vx, 
lit16 


const-wide/32 vx, 
lit32 


const-wide vx, lit64 


const/high16 vO, 
lit16 


const-wide/high16, 
lit16 


const-string vx, 
string 


const-class vx, 
class 


s> 


义 

(扩展 为 32 位 ) 存 入 vx 
(扩展 为 32 42) A vx 

将 32 位 字面 值 1it32 A vx 

(扩展 为 64 位 ) 存 


将 4 位 字面 值 Lit4 


将 16 位 字面 值 Lit16 


将 16 位 字面 值 Lit16 
А ух & ух + 1 


将 32 位 字面 值 110632 
2 ух Ж vx + 1 


(扩展 为 64 45) 6 


将 64 位 字面 值 lite4 A vx Ж vx + 1 

将 16 位 字面 值 11116 存 入 vx 的 高 位 

将 16 位 字面 值 litie ФА vx fe vx + 1 的 高 位 
将 指 字符 串 常量 《的 引用 ) 


string A vx 


将 指向 类 对 象 (的 引用 ) class BA vx 


这 些 指令 会 在 我 们 给 变量 赋 字 面值 的 时 候 用 到 。 下 面 我 们 来 看 看 这 些 指令 如 何 与 
Java 代码 对 应 ， 以 下 我 定义 了 所 有 相关 类 型 的 变量 。 


boolean z = true; 
z = false; 


byte b = 1; 
short s = 2; 
inti-3; 
long 1 = 4 


SIT; 
double d = 0.2; 
String str - "test"; 
Class c - Object.class; 


编译 之 后 的 代码 可 能 是 这 样 : 


const/4 v10, 0х1 

const/4 v10, 0x0 

const/4 м0, 0x1 

const/4 v8, 0x2 

const/4 v5, 0x3 

const-wide/16 v6, 0x4 

const v4, Ox3dcccccd # 0.1f 

const-wide v2, Ox3fc999999999999aL # 0.2 
const-string v9, "test" 

const-class v1, Ljava/lang/Object; 


我 们 可 以 看 到 ， boolean ^ byte ^ short ^ int 都 是 使 用 const 系列 指令 
来 加 载 的 。 我 们 在 这 里 为 其 赋 了 比较 小 的 值 ， 所 以 它 用 了 const/4 。 如 果 我 们 选 
择 一 个 更 大 的 值 ， 编 译 器 会 采用 const/16 或 者 const 指令 。 然 后 我 们 可 以 看 
到 const-wide/16 用 于 为 long 赋值 ， 说 明 const-wide 系列 指令 用 于 处 

JE long ° 


接 下 来 ， float 使 用 const 指令 处 理 ， double 使 用 const-wide 指令 处 理 。 
以 float 为 例 ， 它 的 const 语句 的 字面 值 是 Ox3dcccccd ， 比 较 费 解 。 实 际 上 
它 是 保持 二 进 制 数 据 不 变 ， 将 其 表示 为 int 得 到 的 。 
我 们 可 以 用 这 上 段 с 代码 来 验证 。 
int main() 4 
int i = Ox3dcccccd; 
float f = *(float CAE 


print f (СОК А); 
returni or 


结果 是 0.100000 ， 的 确 是 我 们 当初 赋值 的 0.1。 

SE: const-string 用 于 加 载 字 符 串 ， const-class 用 于 加 载 类 对 象 。 虽 然 文 
档 中 写 着 “字符 串 的 1D”， 但 实际 的 反 编 译 代码 中 是 字符 串 字 面值 ， 比 较 方 便 。 对 于 
类 对 象 来 说 ， 代 码 中 出 现 的 是 完全 先 定 名 称 。 

数据 移动 


Zt 4E 15 zh 18 4 SLE KE db 4h83 move 


指令 m 
move vx,vy УХ = Му 
move/from16 vx,vy VX VY 
move/16 vx,vy CST 
move-wide vx,vy VN u sb VV VA Uw sl 


move-wide/from16 үх, VX + 1 = уу, му + 1 


ух,уу 
move-wide/16 vx,vy VX, VX + 1 = Vy, му + d 
move-object vx,vy MP 
move-object/from16 ух = vy 
ух,уу 
move-object/16 vx,vy Nx CV 
将 小 于 等 于 32 位 的 基本 类 型 ( int 等 ) 的 返回 值 赋 
move-result ух D 
move-result-wide vx 将 long 和 double 类 型 的 返回 值 赋 给 


move-result-object vx ` 将 对 象 类 型 的 返回 值 (的 引用 ) RA vx 
. 将 异常 对 象 (的 引用 ) WRA vx ， 只 能 在 throw Z 
Move-exception ух 后 使 用 


move 系列 指令 以 及 move-result 用 于 处 理 小 于 等 于 32 位 的 基本 类 
Al o move-wide 系列 指令 和 move-result-wide 用 于 处 理 long 和 double X 
型 。 move-object 系列 指令 和 move-result-object 用 于 处 理 对 象 引 用 。 


另外 不 同 后 组 (X^ /from16 ` /16 ) 只 影响 字 节 码 的 位 数 和 寄存 器 的 范围 ， 
不 影响 指令 的 逻辑 。 
= E 
数据 运算 


二 元 运算 


二 元 运算 指令 格式 为 < 运算 类 型 >-< 数 据 类 型 > vx, vy,vz 。 其 中 算术 运算 
的 type 可 以 为 int ` long ` float ` double 四 种 
( short ^ byte 按 int 处 理 ) ， 位 运算 的 只 支持 int ^ long ° FER: 


指令 运算 类 

add- vx, vy, vz 加 法 
sub- vx, vy, VZ 减法 
mul- vx, vy, vz 乘法 
div- ух, уу, у2 除法 
rem- vx, vy, VZ ЮЖ 
位 运算 
and- vx, vy, vz 与 
ог- ух, уу, VZ 或 
хог- ух, уу, VZ FR 
shl- vx, vy, VZ Z 4 
shr- vx, vy, VZ 算术 右 移 
ushr- ух, vy, vz 逻辑 右 移 
我 们 可 以 查看 如 下 代码 : 
int a - 5, 

b-2, 

с= а + Б, 

а = а - b, 

е zd "b, 

qos uq bs 

g = ag b, 

hn=a&b， 

i-a] b, 

2-ю 

k = а << b, 

l = а >> б, 

m = а >>> b; 


编译 后 的 代码 可 能 > 


ух = WAV 
Ух лу 
МХ = W 
ОЕ ЛУ 
МЕ ЛУ 
М = SA 
үх = үу 

Ух Шуу. 
МЕУ 
МЕ ЛУ 
Ух NI 


% 


VZ 


VZ 


VZ 


VZ 


VZ 


VZ 


ү2` 


const/4 уб, 0x5 
const/4 v1, 0x2 
add-int v2, vO, v1 
sub-int v3, vO, v1 
mul-int v4, vO, v1 
div-int v5, vO, v1 
rem-int v6, vO, v1 
and-int v7, v0, v1 
or-int v8, vO, v1 
xor-int v9, vO, v1 
shl-int v10, vO, v1 
shr-int v11, vO, v1 
ushr-int v12, vO, v1 


这 里 有 个 特例 ， 当 操作 数 类 型 是 int ， 并 且 第 二 个 操作 数 是 字面 值 的 时 候 ， 有 一 
组 特 化 的 指令 : 


指令 运算 类 型 含义 
add-int/ ух, vy, 加 法 VX Чу р «їр: 
sub-int/ ух, vy, 减法 V E W nS 
mul-int/ vx, Vy, 乘法 VX = VV TRES 
div-int/ vx, vy, 除法 WE SNAP ТАСА 
rem-int/ vx, vy, KAE Ух = wA EE ER 
位 运算 
and-int/ vx, vy, 与 ИЕ УТЕ == 
or-int/ ух, vy, 或 `vx = vy 
xor-int/ vx, vy, J 3, VX = УУ da 
shl-int/ vx, vy, ZS MX Ve ace Tees 
shr-int/ vx, vy, 算术 右 移 VV s TI 
ushr-int/ vx, vy, 逻辑 右 移 VX > EE ts: 


其 中 <litn> 可 以 为 lits 或 11016 ， 即 8 位 或 16 位 的 整数 字面 值 。 上 比 
如 int a = 0; a += 2; 可 能 编译 
为 const/4 v0, © 和 add-int/lit8 v0, v0, 0x2 ° 


二 元 运算 赋值 指令 格式 为 < 运算 类 型 >-< 数 据 类 型 >/2 vx,vy,vz ° 


算术 运算 
add-/2addr ух, уу 
sub-/2addr vx, vy 
mul-/2addr vx, vy 
div-/2addr vx, vy 
rem-/2addr vx, vy 
1 3£ 6 
and-/2addr vx, vy 
or-/2addr vx, vy 
xor-/2addr vx, vy 
shl-/2addr vx, vy 
shr-/2addr vx, vy 
ushr-/2addr vx, vy 


我 们 可 以 查看 这 段 代码 : 


F 
= 
` * !/ + ct 
Hl H H II 
с о 


D D D mm D Dm Dm D > D 
II 


已 


i£ E 


加 法 赋值 
减法 赋值 
乘法 赋值 
除法 赋值 


取 余 赋值 





与 赋值 
或 赋值 
异 或 赋值 
左 移 赋值 


算术 右 移 赋值 
逻辑 右 移 赋值 


vy 


const/4 уб, 0x5 
const/4 v1, 0х2 
add-int/2addr v0, vi 
sub-int/2addr уб, v1 
mul-int/2addr м0, vi 
div-int/2addr уб, vi 
rem-int/2addr v0, v1 
and-int/2addr vO, vi 
or-int/2addr vO, v1 
xor-int/2addr vO, vi 
shl-int/2addr vO, v1 
shr-int/2addr уб, v1 
ushr-int/2addr vO, vi 


neg- vx, vy 取 负 үх = Vy 


not- ух, уу ДАЛ EE 
DT ЬЕ 并 且 变 量 依次 分 配 


给 уо, vi, v2 的 话 ， 我 们 会 得 
到 const/4 v0, 0x5 ^ neg-int vi, vO 和 not-int v2, vO ° 


3tg 
无 条 件 


Java 里 面 没 有 goto ， 但 是 Smali 里 面 有 ， 一 般 来 说 和 if 以 及 for 配合 的 可 
能 性 很 大 ， 还 有 一 个 作用 就 是 用 于 代码 混淆 。 


SZ 类 型 
goto target 8 位 无 条 件 跳 
goto/16 target 16 位 无 条 件 跳 
goto/32 target 32 位 无 条 件 跳 


target 在 Smali 中 是 标签 ， 以 冒号 开头 ， 使 用 方式 是 这 


goto "Jabel 
# 一 些 语句 


: label 
这 三 个 指令 在 使 用 形式 上 都 一 样 ， 就 是 位 数 越 大 的 语句 支持 的 距离 也 越 长 。 


条 件 跳 转 


if 系列 指令 可 用 于 int (以 及 short ^ char ^ byte ^ boolean 甚至 是 
对 象 引用 ) 


指令 ex 
if-eq vx,vy,target vx == vy 则 跳 到 target 
if-ne vx,vy,target vx != vy 则 跳 到 target 
if-It vx, vy,target vx < vy 则 跳 到 target 
if-ge vx,vy,target vx >= vy 则 跳 到 target 
if-gt vx,vy,target vx > vy 则 跳 到 target 
if-le vx,vy,target ух <= уу 则 跳 到 target 
if-eqz vx,target vx == 0 则 跳 到 target 
if-nez vx,target vx != 0 则 跳 到 target 
if-Itz vx,target vx < 9 则 跳 到 target 
if-gez vx,target ух >= 0 则 跳 到 target 
if-gtz vx,target ух > @ 则 跳 到 target 
if-lez vx,target ух <= 0 则 跳 到 target 


看 一 下 这 段 代码 : 


int a = 10 
if(a > 0) 
а= 
е1<е 
а = 0; 


可 能 的 编译 结果 是 : 


const/4 vO, Oxa 
if-lez м0, :cond O # if 块 开始 
const/4 v0, Ox1 


goto :cond 1 # if 块 结束 
:cond_0 # else 块 开 始 
const/4 уб, 0x0 

:cond 1 4 else 块 结束 


我 们 会 看 到 用 于 比较 逻辑 是 反 着 的 ，Java 里 是 大 于 ，Smali 中 就 变 成 了 小 于 等 于 ， 
这 个 要 注意 。 也 有 一 些 情况 下 ， 逮 辑 不 是 反 着 的 ， 但 是 if 块 和 else 块 会 对 调 。 
还 有 ， 标 签 不 一 定 是 一 样 的 ， 后 面 的 数字 会 变 ， 但 是 多 数 情 况 下 都 是 两 个 标签 ， 一 
个 相对 跳 一 个 绝对 跳 。 


如 果 只 有 if 


相对 来 说 就 简单 一 些 ， 只 需要 在 条 件 不 满足 时 跳 过 if 块 即 可 : 


const/4 vO, Oxa 

if-lez v0, :cond_0 # if 块 开始 
const/4 v0, Ox1 

:cond 0 # if 块 结 


比较 


对 于 long ^ float 和 double 又 该 如 何 比 较 呢 ? Dalvik 提供 了 下 面 这 些 指令 : 


指令 含义 
cmpl-float vx, vy, vz vx = -sgn(vy - vz) 
cmpg-float vx, vy, vz vx = sgn(vy - vz) 
cmp-float vx, vy, vz cmpg-float 的 别名 
cmpl-double vx, vy, vz vx = -sgn(vy - vz) 
cmpg-double vx, vy, vz vx = sgn(vy - vz) 
cmp-double vx, vy, vz cmpg-double 的 别名 


cmp-long ух, уу, у2 vx = sgn(vy - vz) 


其 中 sgn(x) 是 符号 函数 ， 定 义 为 : x > 0 时 值 为 1，x = 0 时 值 为 


0> x< 0 时 值 为 -1。 
我 们 把 之 前 例子 中 的 int AA float 


float a - 10; 
if(a » 0) 

а = 1; 
е1ѕе 

а = 0; 


我 们 会 得 到 : 


const м0, 0x41200000 # float 10 
const v1, 0x0 
cmp-float v2, vO, v1 


if-lez v2, :cond 0 # if 块 开始 
const v0, Ox3f800000 # float 1 
goto :goto_0 # if 块 结束 
:cond 0 # else 块 开始 
const/4 v0, 0x0 

:goto_0 # else 块 结束 


由 于 cmpg 更 类 似 平时 使 用 的 比较 器 ， 用 起 来 更 加 顺手 ， 但 是 cmpl 也 需要 了 


解 。 


switch 
Dalvik 共 支 持 两 种 switch ， 蜜 集 和 黎 芍 。 先 来 看 密集 switch 
是 case 的 序号 是 挨 着 的 : 


їпї а= 10; 
Switch (а){ 
case 0: 
а=; 
break; 
case 1: 
a = 5; 
break; 
case 2: 
a = 10; 
ргеак; 
саѕе 3: 
а = 20; 
ргеак; 


编译 为 : 
const/16 vO, Oxa 


packed-switch v0, 


:pswitch 0 
const/4 v0, Ox1 
goto :goto 0 


:pswitch 1 
const/4 v0, 0x5 
goto :goto 0 


:pswitch 2 
const/16 vO, Oxa 
goto :goto_0 


:pswitch 3 
const/16 vO, 0x14 
goto :goto 0 


:goto 0 
return-void 


:pswitch data 0 


.packed-switch 0x60 


:pswitch 0 
:pswitch 1 
:pswitch 2 
:pswitch 3 


.end packed-switch 


ZER switch 


int a - 10; 
switch (ail 
case 0: 
a = 1; 
break; 
case 10: 
a = 5; 
break; 
case 20: 
Quo 
break; 
case 30: 
a = 20; 
break; 


:pswitch data 0 # 


# 


Switch 开始 


case 0 


case 1 


case 2 


case 3 


switch 结束 


跳 转 表 开 始 
从 Ө 开始 


跳 转 表 结 


编译 为 : 
const/16 vO, Oxa 


sparse-switch м0, :sswitch data 0 # 


:sswitch 0 # 
const/4 vO, Ox1 
goto :goto 0 
:sswitch 1 # 
const/4 vO, 0х5 
goto :goto 0 
:sswitch 2 # 
const/16 vO, Oxa 
goto :goto 0 
:sswitch 3 # 
const/16 v0, 0x14 
goto :goto 0 
:goto 0 # 
return-void 
line 55 
:sswitch data 0 # 
.Sparse-switch 

0x0 -> :sswitch O 

Оха -> :sswitch 1 

0x14 -> :sswitch 2 

Ох1е -> :sswitch 3 
.end sparse-switch # 


数组 操作 


数组 拥有 一 套 特 化 的 指令 。 


创建 


switch 开始 


Case 0 


case 10 


case 20 


case 15 


switch 结 


跳 转 表 开 始 


跳 转 表 结 束 


指令 FA 
new-array vx,vy,type 创建 类 型 为 type ， 大 小 为 vy 的 数组 赋 给 vx 
filled-new-array 从 params 创建 数组 ， 结 果 使 用 move-result Ж 
{params},type_id 取 


filled-new-array-range JA vx 5 vy ŽA (包含 ) 的 所 有 寄存 器 创建 数 


{vx..vy},type_id 组 ， 结 果 使 用 move-result 获取 


对 于 第 一 条 指令 ， 如 果 我 们 这 样 写 : 


int[] агг = new 1пї[10]; 


就 可 以 使 用 该 指令 编译 : 


const/4 v1, Oxa 
new-array м0, v1, I 


但 如 果 我 们 直接 使 用 数组 字面 值 给 一 个 数组 赋值 : 


int[] arr = {1, 2, 3, 4, 5}; 
// 或 者 
arr = new int[]{1, 2, 3, 4, 5}; 


可 以 使 用 第 二 条 指令 编写 如 下 : 


const/4 v1, 0х1 
const/4 v2, 0x2 
const/4 v3, 0x3 
const/4 v4, 0x4 
const/4 v5, 0x5 
filled-new-array (v1, v2, v3, v4, v5}, I 
move-result vO 


_ x. 连续 的 ， 实 际 上 不 一 定 是 这 样 ， 如 果 寄 存 器 是 
写 为 第 三 条 指令 : 


const/4 v1, 0х1 
const/4 v2, 0x2 
const/4 v3, 0x3 
const/4 v4, 0x4 
const/4 v5, 0x5 
filled-new-array-range (vi1..v5), I 
move-result vo 


卖 的 ， 


还 可 以 


元 素 操 作 
aget 系列 指令 用 于 读 取 数 组 元 素 ， 效 果 为 ух = vy[vz] 


aget ух, уу, м2 
aget-wide ух, уу, 2 
aget-object ух, уу, м2 
aget-boolean ух, уу, м2 
aget-byte ух, уу, у2 
адеї Char ух, уу, м2 
aget-short ух, уу, м2 


有 两 个 指令 需要 说 明 aget 用 于 获取 int 和 float > aget-wide 用 于 获 
取 long 和 double 。 


同样 ， aput 系列 指令 用 于 写 入 数组 元 素 ， 效 果 为 vy[vz] = vx 


aget ух,уу,у?2 
aget-wide ух, уу, у2 
aget-object ух, уу, м2 
aget-boolean ух, уу, м2 
aget-byte ух, уу, м2 
адеї -сһаг ух, уу, 2 
aget-short ух, уу, м2 


如 果 我 们 编写 以 下 代码 : 


int[] агг = new int[2]; 
int b = arr[0]; 
arr[1] = b; 


可 能 会 编译 成 : 


const/4 v0, 0x2 
new-array vi, м0, I 
const/4 vO, 0x0 
aget-int v2, v1, vO 
const/4 v0, Ox1 
aput-int v2, v1, vO 


对 象 操作 


对 象 创 建 


指令 AL 


new-instance vx, type 创建 type 的 新 实例 ， 并 赋 给 vx 


new-instance 用 于 创建 实例 ， 但 之 后 还 需要 调用 构造 器 <init> ， 比 如 : 


Object obj = new Object(); 


会 编译 成 : 


new-instance v0, Ljava/lang/Object; 
invoke-direct-empty {v0}, Ljava/lang/Object;-><init>()V 


方法 调用 后 面 再 讲 。 


字段 操作 
sget 系列 指令 用 于 获取 静态 字段 ， 效 果 为 vx = class.field 


sget vx, type->field:field type 
sget-wide vx, type->field:field type 
sget-object vx, type-»field:field type 
sget-boolean vx, type-»field:field type 
sget-byte vx, type-»field:field type 
sget-char vx, type-»field:field type 
sget-short vx, type-»field:field type 


sput 系列 指令 用 于 设置 静态 字段 ， 效 果 为 class.field = vx 


sput vx, type->field:field type 
sput-wide vx, type->field:field type 
sput-object vx, type->field:field type 
sput-boolean vx, type->field:field type 
sput-byte vx, type->field:field type 
sput-char vx, type-»field:field type 
sput-short vx, type-»field:field type 


public class Test 


{ 
private static int staticField; 
public static int getStaticField() { 
return staticField; 
} 
public static void setStaticField(int staticField) { 
Test.staticField = staticField; 
} 
} 


编译 之 后 ， 我 们 可 以 在 getStaticField 中 找到 : 


sget м0, Lnet/flygon/myapplication/Test;->staticField:I 
return м0 


£ setStaticField 中 可 以 找到 : 


sput ро, Lnet/flygon/myapplication/Test;->staticField:I 
return-void 


iget 系列 指令 用 于 获取 实例 字段 ， 效 果 为 vx = vu. Field 


iget vx, vy, type->field:field_type 
iget-wide vx, vy, type->field:field type 
iget-object vx, vy, type->field:field_type 
iget-boolean vx, vy, type->field:field_type 
iget-byte vx, vy, type->field:field type 
iget-char vx, vy, type->field:field type 
iget-short vx, vy, type->field:field_type 


iput 系列 指令 用 于 设置 实例 字段 ， 效 果 为 vy.field = vx 


iput vx, vy, type->field:field_type 
iput-wide vx, vy, type->field:field type 
iput-object vx, vy, type-»field:field type 
iput-boolean vx, vy, type-»field:field type 
iput-byte vx, vy, type-»field:field type 
iput-char vx, vy, type-»field:field type 
iput-short vx, vy, type-»field:field type 


我 们 将 之 前 的 类 修改 一 下 : 


public class Test 


{ 
private int instanceField; 
public int getInstanceField() í 
return instanceField; 
} 
public void setInstanceField(int instanceField) { 
this.instanceField = instanceField; 
} 
} 


反 编 译 之 后 ， 我 们 可 以 在 getInstanceField 中 找到 : 


iget v0, ро, Lnet/flygon/myapplication/Test;->instanceField:l 
return vO 


在 setInstanceField 中 可 以 找到 : 


iset p1, p0, Lnet/flygon/myapplication/Test;->instanceField:I 
return-void 


在 实例 方法 中 ， this 引用 永远 是 po 。 第 一 个 参数 从 pl 开始 ° 


方法 调用 
有 五 类 方法 调用 指令 : 
指令 含义 

invoke-static 调用 静态 方法 
invoke-direct 调用 直接 方法 
invoke-direct-empty 无 参 的 invoke-direct 
invoke-virtual 调用 虚 方 法 
invoke-super 调用 超 类 的 虚 方 法 
invoke-interface 调用 接口 方法 

这 些 指令 的 格式 均 为 : 


invoke-* {params}, type->method(params_type)return_type 


如 果 需 要 传递 this 引用 ， 将 其 放置 在 param 的 第 一 个 位 置 。 


那么 这 些 指令 有 什么 不 同 呢 ? 首先 要 分 辨 两 个 概念 ， 虚 方法 和 直接 方法 (JVM Ed 
叫 特 殊 方 法 ) 。 其 实 Java 是 没有 虚 方 法 这 个 概念 的 ， 但 是 DVM 里 面 有 ， 直 接 方 
法 是 指 类 的 〈 type AX) 所 有 实例 构造 器 和 private 实例 方法 。 反 

Z protected 或 者 public 方法 都 叫做 虚 方 法 。 

invoke-static 比较 好 分 辨 ， 当 且 仅 当 调 用 静态 方法 时 ， 才 会 使 用 它 。 


invoke-direct (4 JVM 中 叫做 invokespecial ) 用 于 调用 直接 方 
ik* invoke-virtual 用 于 调用 虚 方 法 。 除 了 一 种 情况 ， 显 式 使 用 super 调用 超 
类 的 庶 方 法 时 ， 使 用 invoke-super (直接 方法 仍然 使 用 invoke-direct ) ° 


就 比如 说 ， 每 个 Activity 的 onCreate 中 要 调用 super.onCreate ， 该 方法 属 
于 上 庶 方 法 ， 于 是 我 们 会 看 到 : 


invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid 
/os/Bundle; )V 


但 是 呢 ， 每 个 Activity 构造 器 里 面 要 调用 super 的 无 参 构造 器 ， 它 属于 直接 方 
法 ， 那 么 我 们 会 看 到 : 
invoke-direct {p0}, Landroid/app/Activity;-><init>()V 
invoke-interface 用 于 调用 接口 方法 ， 接 口 方法 就 是 接口 的 方法 ， type 一 定 
为 某 个 接口 ， 而 不 是 类 。 换 多 话说 ， 类 中 实现 的 方法 仍然 是 上 庶 方 法 。 比 如 我 们 在 某 
个 对 象 上 调用 Map oer ， 属 于 接口 方法 ， 但 是 调用 HashMap get ， 属 于 虚 方 
法 。 这 个 指令 一 般 在 向 上 转型 为 接口 类 型 的 时 候 出 现 。 
此 外 ， 五 类 指令 中 每 一 个 都 有 对 应 的 invoke-*-range 指令 ， 格 式 为 : 


invoke-*-range (vx..vyj,type-»method(params type)return type 


如 果 参 数 所 在 的 寄存 器 的 连续 的 ， 可 以 替换 为 这 条 指令 。 


xp Hed 
对 象 转换 有 自己 的 一 套 检 测 方式 ，DVM 使 用 以 下 指令 来 实现 : 
指令 含义 


SE VG VY 检验 vy 的 类 型 是 不 是 type ， 将 结果 存 入 vx 


check-cast ух, 检验 vx 类 型 是 不 是 type ， 不 是 的 话 会 抛 
type 出 ClassCastException 


instance-of 指令 对 应 Java 的 instanceof 运算 符 。 如 果 我 们 编写 : 


String s = "test"; 
boolean b = s instanceof String; 


可 能 会 编译 为 : 


const-string v0, "test" 
instance-of v1, v0, Ljava/lang/String; 


check-cast 用 于 对 象 类 型 强制 转换 的 情况 ， 如 果 我 们 编写 : 


String s = "test"; 
Object o = (Object)s; 
那么 就 会 


const-string v0, "test" 
check-cast v0, Ljava/lang/Object; 
move-object v1, vO 


返回 


return-void 
return vx 
return-wide vx 
return-object vx 


+o ЖЗ MA › ARAA return-void ， 注 意 在 Java 中 ， 无 返回 值 函 数 结 
尾 处 的 return 可 以 省 ， 而 Smali 不 可 以 。 


如 果 函 数 需要 返回 对 象 ， 使 用 return-object ; 需要 返回 long 或 
者 double ， 使 用 return-wide ; 除 此 之 外 所 有 情况 都 使 用 return ° 


异常 指令 实际 上 只 有 一 条 ， 但 是 代码 结构 相当 复杂 ° 


ШК 
dp 
dp 
x: 


throw vx 抛 出 vx (所 指向 的 对 象 ) 


我 们 需要 看 看 Smali 如 何 处 理 异常 。 


try-catch 
不 失 一 般 性 ， 我 们 构造 以 下 语句 : 


int a = 10; 

try { 
callSomeMethod(); 

y catch (Exception e) { 
a = 0, 


callAnotherMethod(); 


可 能 会 编译 成 这 样 ， 这 些 语 多 每 个 都 不 一 样 ， 可 以 按照 特征 来 定位 : 


const/16 vO, Oxa 


:try start O # try 块 开 始 
invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->call 
SomeMethod( )V 


:try end ө # try 块 结束 

.catch Ljava/lang/Exception; { 人 :try_start 0 .. :try end 0) :catch 
_0 

:goto_0 

invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->call 
AnotherMethod()V 


return-void 


:catch 0 # catch 块 开 始 
move-exception vi 

const/4 уб, 0X0 

goto :goto 0 4 catch 块 结束 


我 们 可 以 看 到 ， :try start 0 和 :try end 0 ZH] $538 6] He JR £3 4E JE o M| Z 
向 下 寻找 catch (或 者 .catch-all ) 语句 ， 符 合 条 件 时 跳 到 标签 的 位 置 ， 这 
里 是 :catch 0 ， 结 束 之 后 会 有 个 goto 跳 回 去 。 


try-finally 


їпї а= 10; 


try { 
callSomeMethod(); 


) finally í 
a = 0; 


} 
callAnotherMethod(); 
编译 之 后 是 这 样 : 


const/16 vO, Oxa 


:try_start_ 0 # try 块 开 始 
invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->call 
SomeMethod( )V 


:try_end_0 # try 块 结 

.Catchall f{:try_start 0 .. :try end 0) :catchall 0 

const/4 v0, 0x0 # 复制 一 份 到 外 面 

invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->call 
AnotherMethod()V 


return-void 


:catchall 0 # finally 块 开 始 
move-exception vi 

const/4 v0, 0x0 

throw vi # finally 块 结束 


我 们 可 以 看 到 ， 编 译 器 把 finally 编译 成 了 重新 抛 出 的 .catch-all ， 这 在 逻辑 
上 也 是 说 得 通 的 。 但 是 ， finally 中 的 逻辑 在 无 异常 情况 下 也 会 执行 ， 所 以 需要 
复制 一 份 到 finally 块 的 后 面 。 

try-catch-finally 


下 面 看 看 如 果 把 这 两 个 登 加 起 来 会 怎么 样 。 


int a - 10; 

try 4 
callSomeMethod(); 

) catch (Exception e) { 
а = 1; 

} 

finally { 
а = 0; 


} 
callAnotherMethod(); 


const/16 vO, Оха 


:try_start_0 # try 块 开始 

invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->call 
SomeMethod( )V 

:try end ө # try 块 结 

.catch Ljava/lang/Exception; (:try start 0 .. :try end 0) Catch 
_0 

.catchall {:try_start 0 .. :try end 0} :catchall 0 

const/4 v0, 0x0 # 复制 一 份 到 外 面 

:goto_0 

invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->call 
AnotherMethod()V 


return-void 


:catch 0 4 catch 块 开 始 
move-exception vi 
const/4 v0, Ox1 


const/4 vO, 0x0 4 复制 一 份 到 catch 7X € m 
goto :goto 0 4 catch 块 结 
:catchall 0 # finally 块 开 始 


move-exception v2 
const/4 v0, 0x0 
throw v2 # finally 块 结束 


我 们 可 以 看 到 ， 其 中 同时 含有 catch 块 和 ,catchall 块 。 有 一 些 不 同 之 处 在 
于 ， finally 块 中 的 语句 异常 发 生 时 也 要 执行 ， 并 且 如 果 把 finally 编译 
成 .catchall ， 那 么 和 catch 就 是 互 矿 的 ， 所 以 要 复制 一 份 到 catch 块 里 
面 。 特 别 是 finally 块 中 的 语句 一 多 ， 就 容易 乱 。 


KEN 
指令 含义 
monitor-enter vx 获得 vx 所 引用 的 对 象 的 锁 
monitor-exit ух 释放 vx 所 引用 的 对 象 的 锁 


对 应 Java 的 synchronized 语句 。 而 synchronized 一 般 是 
被 try-finally 包 起 来 的 。 


如 果 你 编写 : 


int a = 1; 
synchronized(this) í 


a = 2; 
} 
就 相当 于 
int a = 1; 
// monitor-enter this 
try í 
а= 2; 


) finally í 
// monitor-exit this 
} 


此 外 Java 中 没有 与 这 两 条 指令 相对 应 的 方法 ， 所 以 这 两 条 指令 一 定 成 对 出 现 。 
数据 转换 
整数 与 浮 点 以 及 浮 点 与 浮 点 


int-to-float vx, vy 
int-to-double vx, vy 
long-to-float vx, vy 
long-to-double vx, vy 
float-to-int vx, vy 
float-to-long vx, vy 
float-to-double vx, vy 
double-to-int vx, vy 
double-to-long vx, vy 
double-to-float vx, vy 


因为 它们 的 表示 方式 不 同 ， 所 以 要 保持 表示 的 值 不 变 ， 重 新 计算 二 进 制 位 。 如 果 不 
转换 的 话 ， 就 相当 于 二 进 制 位 不 变 ， 而 表示 的 值 改 变 ， 结 果 毫 无 意义 。 比 如 前 面 
的 0.1f 如 果 不 转 换 为 直接 使 用 ， 就 会 表示 Ox3dcccccd » 


整数 之 间 的 向 上 转换 


这 种 转换 方式 相当 直接 ， int 向 long 转换 ， long 的 第 一 个 寄存 器 完全 复制 ， 
第 二 个 寄存 器 以 int 的 最 高 位 填充 。 除 此 之 外 没有 其 它 的 指令 了 ， 因 为 比 int 小 
的 整数 其 实 都 是 32 位 表示 的 ， 只 是 有 效 范 围 是 8 位 或 16 位 罢了 ( 见 数据 定 

д) ° 


int-to-long vx,vy 


整数 之 间 的 向 下 转换 


其 规则 是 数据 位 截断 ， 符 号 位 保留 。 每 个 整数 的 最 高 位 都 是 符号 位 ， 其 余 是 数据 
位 以 int 转 short 为 例 ，int 的 低 15 位 复制 给 short ， 然 后 int 的 最 高 
位 〈 符 号 位 ) 复制 给 short 的 最 高 位 。 其 它 同 理 。 如 果 不 转换 而 直接 使 用 的 话 ， 
会 直接 截断 低 16 位 ， 符 号 可 能 不 能 保留 。 


long-to-int vx,vy 
int-to-byte vx,vy 
int-to-char vx,vy 
int-to-short vx,vy 


NOP 


nop 指令 表示 无 操作 。 在 一 些 场合 下 ， 不 能 修改 二 进 制 代码 的 字 节 数 和 偏 移 ， 需 
要 用 пор 来 填充 ， 但 是 安 卓 逆向 中 几乎 用 不 到 。 


e Bytecode for the Dalvik VM 
e Dalvik 字 节 码 含义 查询 衣 
e РУМ 指令 集 图 解 


安 草 逆向 系列 教程 (二 ) АРК 和 DEX 


作者 : 飞龙 


АРК 


APK X Android 软件 包 的 分 发 格式 ， 它 本 身 是 个 Zip 压缩 包 。APK 根 目录 下 可 能 
出 现 的 目录 和 文件 有 : 
A 用 途 
META- INF 存放 元 数据 


AndroidManifest.xml 编译 后 的 全 局 配置 文件 


assets 存放 资源 文件 ， 不 会 编译 
classes.dex 编译 并 打包 后 的 源 代码 
存放 二 进 制 共享 库 ， 含 | 
lib 有 armeabi-* ^ mips ^ x86 等 文件 夹 ， 对 应 
具体 的 平台 
res 存放 资源 文件 
resources.arsc 编译 并 打包 后 的 res/values 中 的 文件 
res 


res 中 可 能 出 现 的 目录 如 下 : 


名 称 
anim 


color 
drawable-* 


layout 


menu 


mipmap -* 


raw 


xml 


存放 编译 后 的 动画 XML 文件 ( <xxXAnimation> ) 
存放 编译 后 的 选择 器 XML 文件 ( «selector» ) 


存放 图 片 ， * 为 不 同 分 辨 率 ， 图 片 按照 不 同 分 辨 率 归 类 。 其 
中 带 .9 的 图 片 为 可 拉 伸 的 图 片 。 


存放 编译 后 的 布局 XML 文件 ( <XXXLayout> ) 
存放 编译 后 的 菜单 XML 文件 ( «menu» ) 


存放 使 用 mipmap 技术 加 速 的 图 片 ， 一 般 用 来 存放 应 用 图 
标 ， 其 它 同 drawable-* 


存放 资源 文件 ， 不 会 编译 ， 比 如 音乐 、 视 频 、 纯 文本 等 
存放 编译 后 的 自 定义 XML 文件 


resources.arsc 


在 APK 中 是 找 不 到 res/values 这 个 目录 的 ， 因 为 它 里 面 的 文件 编译 后 打包 成 
了 resources.arsc 。 为 了 理解 它 ， 我 们 先 看 一 看 原始 的 res/values ° 


res/values 中 保存 资源 XML 文件 ， 根 节点 为 <resources> 。 一 般 可 能 会 出 现 


以 下 几 种 文件 : 
名 称 


arrays.xml 


bools.xml 
colors.xml 
dimens.xml 
drawables.xml 
ids.xml 
integers.xml 
strings.xml 


styles.xml 


存放 整数 数组 和 字符 串 数组 ， 使 
用 <integer-array> 或 <string-array> 定义 ， 元 素 
使 用 <item> 定义 


存放 布尔 值 ， 使 用 <bool> 定义 

存放 颜色 ， 使 用 «color» 定义 

存放 尺寸 ， 使 用 <dimen> 定义 

存放 颜色 ， 使 用 <drawable> 定义 

存放 ID， 使 用 «item type="id"> 定义 

存放 整数 ， 使 用 «integers» 定义 

存放 字符 串 ， 使 用 «strings» 定义 

存放 颜色 ， 使 用 «style» 定义 ， 元 素 使 用 «item» 定义 


res/values 中 的 文件 名 称 是 无 所 谓 的 ， 这 些 名 称 只 是 约定 。 也 就 是 说 ， 任 
fT res/values 中 的 文件 中 的 字符 串 都 会 出 现在 R.strings 里 面 。 


虽然 我 们 在 APK 中 无 法 直接 看 到 这 些 文 件 ， 但 是 反 编 译 之 后 就 可 以 了 。 反 编译 之 
后 ， 我 们 也 会 找到 一 个 public.xml 文件 ， 是 res 里 所 有 东西 的 索引 : 


<resources> 

«public type="drawable" name="ic_launcher" id="0x7f020000" / 
> 

«public type="layout" name="activity_main" id-'"0x7f030000" / 
> 


«public type="layout" name="activity_sub" id="0x7f030001" /> 

«public type="dimen" name="activity_horizontal_margin" id="0 
x7f040000" /> 

«public type="dimen" name="activity_vertical margin" id="0x7 
f040001" /> 

«public type="string" name="action_settings" id="0x7f050000" 
/> 

«public type="string" name="app_name" id="0x7f050001" /> 

«public type="string" name="hello_world" id="0x7f050002" /> 

«public type="string" name="title_activity_sub" id="0x7f0500 
03" /> 

«public type="style" name="AppTheme" id-z"0x7f060000" /> 

«public type="menu" name="main" id="0x7f070000" /> 

«public type="menu" name="sub" id="0x7f070001" /> 

<public type="id" name="button1" id="0x7f080000" /> 

<public type="id" name="action_settings" id="0x7f080001" /> 
</resources> 


DEX 
DEX Ep Dalvik Executable > Dalvik 可 执行 文件 。 它 的 结构 如 下 : 


struct DexFile{ 
DexHeader Header; 
DexStringId StringIds[stringIdsSize]; 
DexTypeId Typelds[typeldsSize]; 
DexFieldId Fieldids[fieldIdsSize]; 
DexMethodId MethodIds[methodIdsSize]; 
DexProtoId ProtoIds[protoIdsSize]; 
DexClassDef  ClassDefs[classDefsSize]; 
DexData Data; 
DexLink LinkData; 


}; 


我 们 可 以 看 到 ， 它 可 以 分 为 九 个 区 段 ， 如 下 : 


Header 
Stringlds 
Typelds 
Fieldlds 
Methodlds 
Protolds 
ClassDefs 
Data 
LinkData 


大 体 结 构 如 这 张 图 所 示 : 





另外 ， 在 讲解 各 个 区 段 之 前 ， 需 要 首先 了 解 一 些 数据 类 型 的 定义 : 


类 型 

u1 等 同 于 
U2 等 同 于 
u4 等 同 于 
u8 等 同 于 


Header IX £ 


uint8 t 
ШШЕ Лб (6 
ШП ЕЗ2 1E 


uint64 t 


定义 
表示 1 字 节 的 无 符号 数 
， 表示 2 字 节 的 无 符号 数 
， 表示 4 字 节 的 无 符号 数 
， 表示 8 字 节 的 无 符号 数 


Header 区 段 用 于 储存 版 本 标识 、 校 验 和 、 文 件 大 小 、 各 部 分 的 大 小 及 偏 移 。 结 构 
以 及 描述 如 下 : 


struct DexHeader { 


ul magic[8]; /* 版 本 标识 */ 

u4 checksum; /* adler32 检验 和 */ 

ul signature[kSHA1DigestLen]; /* SHA-1 哈 布 值 */ 
u4 fileSize; SE 

u4 headerSize; /* Header 区 段 大 小 */ 
u4 endianTag; Ме ЪЗ Д ТЕ. */ 

u4 linkSize; /* 链接 区 段 大 小 */ 

u4 linkOff; /* 链接 区 段 偏 移 */ 

u4 mapoff; /* MapList 的 偏 移 */ 

u4 stringldsSize; /* Stringid $943 *7 
u4 stringIdsOff; /* StringIds 区 段 偏 移 */ 
u4 typeIdsSize; /* TypeId 的 个 数 */ 

u4 typeIdsoff; /* TypeIds 区 段 偏 移 */ 
u4 protoIdsSize; /* Protold ШУ */ 

u4 protoIdsOff; /* ProtoIds 区 段 偏 移 */ 
u4 fieldIdsSize; /* FieldId 的 个 数 */ 

u4 fieldIdsOff; /* FieldIds 区 段 偏 移 */ 
u4 methodIdsSize; /* MethodId 的 个 数 */ 
u4 methodIdsOff; /* MethodIds 区 段 偏 移 */ 
u4 classpefsSize; /* ClassDef 的 个 数 */ 
u4 classDefsOff; /* ClassDefs 区 段 偏 移 */ 
u4 dataSize; /* 数据 区 段 的 大 小 */ 

u4 dataoff; /* 数据 区 段 的 文件 偏 移 */ 


(éi 


有 几 个 条 目 需要 特别 提醒 。 


e magic : 必须 为 DEX FILE MAGIC 


ubyte[8] DEX FILE MAGIC 
35 0x00 ) 


{ 0x64 0x65 0x78 0x0a Ox30 0x33 Ox 


"dexNno35N0" ; 


e checksum : 是 整个 文件 除去 它 本 身 以 及 魔 数 的 校 验 和 。 
e signature : 是 整个 文件 除去 它 本 身 、 校 验 和 以 及 魔 数 的 哈 希 值 。 
e headerSize :一 般 为 70。 


e endianTag : 有 两 种 顺序 ， 小 端 和 大 端 ， 定 义 如 下 : 


uint ENDIAN CONSTANT = 0x12345678; /* 小 端 序 */ 
uint REVERSE ENDIAN CONSTANT = 0x78563412; /* 大 端 序 */ 


一 般 为 小 端 序 ， 反 正 我 还 没 见 过 大 端的 。 


e stringIdsOff : 由 于 前 一 个 区 段 的 偏 移 加 上 它 的 长 度 一 般 为 后 一 个 区 段 的 
偏 移 ， 所 以 这 个 条 目 一 般 也 为 70。 


e xxxSize : 要 注意 有 几 个 是 个 数 ， 后 组 也 是 Size ° 


e xxxOff : 如 果 对 应 的 xxxSize 为 0， 那么 它 也 为 0 (很 奇怪 ) ° 


Stringlds X P 
Stringlds 区 段 包含 stringIdsSize 个 DexStringId 结构 ， 如 下 : 


Struct DexStringId { | 
и4 stringDataOff; /* 字符 串 内 容 ， 字 符 串 数据 偏 移 */ 
}; 


其 中 数据 偏 移 指向 Data 区 段 的 字符 串 数据 。 


Typelds RE 
Typelds 包含 typeIdsSize 个 DexTypeId 结构 ， 如 下 : 


struct DexTypeId í 
u4 descriptorIdx; /* 类 型 的 完全 限定 符 ， 指 向 DexStringId 列表 的 


ж / 


ү ; 


索引 是 一 个 从 0 开始 的 数字 ， 表 示 对 应 第 几 个 DexStringId ° Ж 

Ж DexStringId 指向 的 字符 串 都 是 类 型 名 称 ， 比 

如 I `œ Ljava/lang/String; 之 类 的 。 DexTypeId 的 索引 也 会 用 于 后 面 的 结 
构 。 


Protolds IX & 


Protolds 包含 ProtolIdsSize 个 DexProtoId 结构 。 这 里 的 Proto 指 方法 原型 ， 
包含 返回 类 型 和 参数 类 型 。 


struct DexProtoId í 
u4 shortyIdx; /* 原型 缩写 ， 指 向 DexstringId 列表 的 索引 */ 
u4 returnTypeIdx; /* 返回 类 型 ， 指 向 DexTypeId 列表 的 索引 */ 
u4 parametersOff; /* 参数 类 型 列表 ， 指 向 DexTypeList 的 偏 移 */ 

3 

struct DexTypeList ( 
u4 size; /* 接 下 来 DexTypeItem 的 个 数 */ 
DexTypeItem list[size]; /* DexTypeItem 结构 */ 

3 

struct DexTypeItem ( 
u2 typeIdx; /* 参数 类 型 ， 指 向 DexTypeId 列表 的 索引 */ 

3 


原型 缩写 是 把 所 有 返回 类 型 和 参数 类 型 的 名 称 拼 在 一 起 ， 对 象 的 话 只 写 L ° № 
如 int(int,int) 写 为 III ^ void() 5A V ° void(String) 22) VL ° 


参数 类 型 列表 一 般 保 存在 Data 区 段 中 ， 如 果 没 有 ， parametersoff 为 0。 


Fieldlds 5 2 
Typelds 包含 fieldIdsSize 个 DexFieldId 结构 ， 如 下 


struct DexFieldId í 


u2 classIdx; /* 类 的 类 型 ， 指 向 DexTypeld 列表 的 索引 */ 
u2 typeldx; /* 字段 类 型 ， 指 向 DexTypeId 列表 的 索引 */ 
u4 nameIdx; /* 字段 名 称 ， 指 向 DexStringId 列表 的 索引 */ 


A 


Methodlds 5 & 


Methodlds 包含 methodlIdsSize 个 DexMethodId 结构 ， 如 下 


struct DexMethodId { 
u2 classIdx; /* 类 的 类 型 ， 指 向 DexTypeId 列表 的 索引 */ 
u2 protoIdx; /* 方法 原型 ， 指 向 DexProtoId 列表 的 索引 */ 
u4 nameIdx; /* 方法 名 称 ， 指 向 DexStringId 列表 的 索引 */ 


A 


ClassDefs F $x 


ClassDefs 包含 classpefsSize 个 DexClassDef 结构 ， 如 下 


struct DexClassDef í 


u4 classIdx; /* 类 的 类 型 ， 指 向 DexTypeId 列表 的 索引 */ 
u4 accessFlags; /* АЖА */ 
u4 superclassIdx; /* 父 类 类 型 ， 指 向 DexTypeId 列 表 的 索引 */ 
u4 interfacesOff; /* 接口 ， 指 向 DexTypeList 的 偏 移 */ 
u4 sourceFileIdx; /* 源 文件 名 ， 指 向 DexStringId 列表 的 索引 */ 
u4 annotationsOff; /* 注解 ， 指 向 DexAnnotationsDirectoryItem 
结构 */ 
u4 classDataOff; /* 指向 DexClassData 结构 的 偏 移 */ 
u4 staticValuesOff; /* 指向 DexEncodedArray 结构 的 偏 移 */ 
}; 
struct DexClassData í 
DexClassDataHeader header; /* 各 个 字段 与 方 
法 的 个 数 */ 
DexField staticFields[staticFieldsSize]; /* S AYER */ 


DexField instanceFields[instanceFieldsSize]; /* Salz 
DexMethod directMethods[directMethodsSize]; /* 直接 方法 */ 
DexMethod virtualMethods[virtualMethodsSize]; /* 2 7 

}; 


Struct DexClassDataHeader í 


u4 staticFieldsSize; /* 静态 字段 个 数 */ 
u4 instanceFieldsSize; /* 实例 字段 个 数 */ 
u4 directMethodsSize; /* 直接 方法 个 数 */ 
u4 virtualMethodsSize; /* 庶 方 法 个 数 */ 
}; 
struct DexField í 
u4 fieldIdx; /* 指向 DexFieldId 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 


struct DexMethod ( 
u4 methodIdx; /* 指向 DexMethodId 的 索引 */ 
u4 accessFlags; /* 访问 标志 */ 


u4 codeOff; /* 方法 指令 ， 指 向 DexCode 结 构 的 偏 移 */ 
}; 
struct DexCode ( 
u2 registersSize; /* 使 用 的 寄存 器 个 数 */ 
u2 insSize; /* S */ 
u2 outsSize; /* 调用 其 他 方法 时 使 用 的 寄存 器 个 数 */ 
u2 triesSize; AE TEV а ЕСШ 7 
u4 debugInfoOff; /* 指向 调试 信息 的 偏 移 */ 
u4 insnsSize; /* 指令 集 个 数 ， 以 2 字 节 为 单位 */ 


u2 insns[insnsSize]; /* 指令 集 */ 


DexClassData 和 DexCode 保存 在 Data F PE ° 


Data 5 E 


这 个 区 段 中 除了 存放 二 级 告 构 和 字符 串 ， 还 有 个 重要 的 结构 叫做 DexMapList ， 


它 实际 上 DEX 中 所 有 东西 的 索引 ， 包 括 各 种 二 级 双 


告 构 、 


字符 串 和 它 本 身 。DEX 中 


同类 结构 都 会 保存 在 一 起 ， 所 以 一 类 结构 只 占用 一 个 条 目 。 

Struct DexMapList í 
u4 size; /* €B^4^X */ 
DexMapItem list[size]; /* 条 目 列表 */ 

}; 

struct DexMapItem { 
u2 type; /* 结构 类 型 ，kDexType 开头 */ 
и2 unused; /* 未 使 用 ， 用 于 字 节 对 齐 */ 
u4 size; /* 连续 存放 的 结构 个 数 */ 
u4 offset; /* 结构 的 偏 移 */ 

}; 

/* s p S usa */ 

enum í 
kDexTypeHeaderItem = 0х0000, 
kDexTypeStringIdItem = 0х0001, 
kDexTypeTypeIdItem = 0х0002, 
kDexTypeProtoIdItem = 0x0003, 
kDexTypeFieldIdItem = 0x0004, 
kDexTypeMethodIdItem = 0x0005, 
kDexTypeClassDefItem = 0x0006, 
kDexTypeMapList = 0x1000, 
kDexTypeTypeList = 0x1001, 
kDexTypeAnnotationSetRefList = 0x1002, 
kDexTypeAnnotationSetlItem = 0x1003, 
kDexTypeClassDataItem = 0x2000, 
kDexTypeCodeItem = 0x2001, 
kDexTypeStringDataltem = 0x2002, 
kDexTypeDebugInfoItem = 0x2003, 
kDexTypeAnnotationItem = 0x2004, 
kDexTypeEncodedArrayItem = 0x2005, 
kDexTypeAnnotationsDirectorylItem = 0х2006, 

}; 


e Android Dex 文 件 结构 解析 
e Dalvik Executable Format 


e DEX 


结构 图 解 
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安 草 逆向 系列 教程 《三 ) 工具 篇 


3.1 静态 分 析 工 具 


作者 : 飞龙 
以 下 工具 可 能 都 需要 先 安装 JDK， 安 装 方法 就 不 说 了 ， 随 便 一 搜 就 是 。 


Android Killer 


几 年 之 前 ， 我 们 要 破解 APK ° 2 到 apktool ` dex2jar ` jd-gui 以 及 
smali2java 等 工具 。 还 需要 在 控制 台中 键入 命令 ， 但 现在 有 了 集成 工具 ， 一 切 都 变 
得 省 事 了 。 


我 们 从 这 里 下 载 Android Killer ° 
我 们 打开 AndroidKiller.exe ， 它 的 启动 界面 是 这 样 ， 很 酪 吧 。 


MM 
正在 加 载 FakeEnc.bpl 插件 www.pd521.com legend_brother 





打开 之 后 ， 点 击 左 上 和 角 的 “打开 "按钮 ， 选 择 要 反 编 译 的 APK， 或 者 直接 把 APK 拖 
进来 。 软 件 会 马上 开始 反 编 译 。 





Gs X Android @ 
d mE GA 
AER, E EE mn 
































f жа 
же | 
Ñ Арк 历史 工程 - A 
[21300068 2017-01-27 22:16:57 Í 
©) app-release-unaligned 2017-01-27 21:21:04 |! 
— e 
oh- no!!! ^ 
м 
打开 新 文件 拖 搜 文件 到 主 窗口 快速 打开 ) 





等 一 会 儿 ， 我 们 会 看 到 反 编 译 完成 。 之 后 切换 到 “工程 管理 器 *， 可 以 看 到 项 目的 结 
构 ， 点 击 其 中 的 文件 可 以 在 右边 看 到 文件 内 容 : 








Ф | AccountActivity.smali 
О 工程 信息 Oresza press | а B ES X hinalal | £ 


оше ав |х а|о DIL -| ш 

ied а) | 1 .class public Lcom/baidu/tieba/account/AccountActivity; ^ 
.super Lcom/baidu/tbadk/BaseActivity:; D 
.Source "SourceFile" 


WI 








è 本 





2 
3 
4 
5 
6 # аппосас1опз 

7 .annotation system Ldalvik/annotation/MemberClasses; 


8 value = ( 
E] Lcom/baidu/tieba/account/AccountActivity$a:, 
10 Lcom/baidu/tieba/account/AccountActivity$b:;, 
| 11 Lcom/baidu/tieba/account/AccountActivity$o:, 
12 Lcom/baidu/tieba/account/AccountActivity$d; 
13 ) 


| 14 .end annotation 





|»Please report this file to http://code.google.com/p/dex2jar/issues/entry if possible. 
| АРК 源码 反 编译 完成 ! 
正在 提取 АРК ees, mes. E 
АРК 源码 提取 完成 ! 
м 
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3.1 静态 分 析 工 具 


点 击 编 辑 框 上 方 的 Java 图 标 ， 就 会 打开 熟悉 的 jd-gui 窗口 : 




















Java Decompiler - AccountActivity.class 三 8] x 
Ele Edit Navigate Search Help 
Б ў| a 
| | 8-88 account ^ ||! AccountActivity.dass x | Y] 
外 в appeal package com.baidu.tieba.account; A 
sa 
由 - 国 manas ачр Р ®|ішрог android.os.Bundle; 
由 - 国 AccountRestoreActivity 
i П А ntRestoreActivityStati public class AccountÀctivity 
申 Geet Ч extends ВазеАстіуіту<АссоцптАстіуіту> 
由 - 因 ActivationActivity { 
由 - 国 NotLoginGuideActivity private List«AccountData» а = null; 
由 - 国 NotLoginGuideActivityStatic private і b = null; 
H [] RegistDat private ListView c = null; 
M ei pir private RelativeLayout d - null; 
5-10 а private NavigationBar е; 
&-[J] b private TextView £ = null; 
由 m c private View.OnClickListener g = null; 
à m d private d h - null; 
i private а i = null; 
由 D e private Handler j = new a(this); 
由 - 国 f 
由 m g private void a() 
&-[) h { 
1 I if (IbadkCoreApplication.getInst().isAccountsDataFromPass ()) 
8-0 1 { 
由 - 国 j this.a = com.baidu.tbadk.coreExtra.a.a.b().c(); 
由 m k d | return; v 
< > < > 














我 们 切换 到 “工程 搜索 ， 在 下 方 的 “搜索 字符 "输入 框 中 输入 app name ， 点 击 下 方 
的 “搜索 ”。 下 方 的 框 中 会 显示 结果 。 我 们 点 击 结果 ， 编 辑 框 中 会 定位 到 具体 文件 。 
我 们 可 以 修改 一 下 。 


| Android | 


r z) Сун визе: 


编译 ER eg i dá 插入 代码 APKTOOL АРК 安装 
E 管理 器 ЕЕЕ 





功能 























à == D 1300068 
BEES Ы |) AccountActivity.smali | `) AndroidManifestxml || ) strings.xml 
Отеве Dresses gess = а Mm XD e nie |= E 
搜索 字符 : ^ «string name-"plugin config not ，found"> 该 插件 暂 不 可 用 </string> A 
79 «string name-"url is nul1"> 地 址 不 存在 哦 </string> 
app_name H 80 «string name-"copy pb url success"> 复 制 成 功 </string> 
81 «string name-"web view corrupted"» RAA FAE, 请 重启 设备 后 再 试 ! </string> 
82 <string name="data_load_error"> 数 据 加 载 失 败 ， 请 重 试 </string> 
A 搜索 - 83 <string name-"live error system not_support"> 由 于 您 的 系统 版 本 过 低 ， 暂 不 支持 . 
84 «string name-"current page"> 当 前 {0}/{1} 页 </string> 
85 «string name-"error sd error"> 和 存储 卡 读 写 失败 </string> 
Saz: Se «string папе="ріс рагзег error"> 图 片 解析 错误 </string> 
mn 87 «string name="error no_sdcard"> 无 法 找到 存储 卡 </string> 
È 88 <string name="error sd_unmount"> 无 法 找到 存储 卡 </string> 
国 | |= вэ «string name="error за shared"> 你 的 存储 卡 被 Js8 占 用 ， 请 更 改 数 据 线 连接 方式 </s 
30 «string name-"login see more"»1f3 EB E Ф</зсгїпд> 
вва 91 «string name-"not login"> 您 还 没有 登录 ~~</string> 
32 «string name=" 革 二" > 贴吧 极速 版 </string> 
етап: " 33 «strinc name="notifv cextn> 你 有 新 消息 『</scrinc> S 
搜索 范围 : 8:92 Sta Si | 
当前 整个 项 目 - © 
文件 类 型 : | арр пате 
——————— Œ- resvyvaluesVstrings.xml 
ета хт ту т] = «string namez"debug app name "> 欢迎 进入 客户 端 debug 模 式 </string> | 
字符 编码 : «string namez"sapi app name "»SAPI V6</string> | 
UTF8 M :5 c *< еы а эю. 15 ^ | 
MEME w| Des | 搜索 结果 | 方法 引用 | 














之 后 我 们 点 击 Android 选项 卡 ， 点 击 第 一 项 “编译 ”。 


主页 工具 Android | 


LE: аы O О == аа P mi Š 


ed am 字符 串 | 方法 声 APKTOOL АРК 安装 出 新 ”安装 me 运行 进程 НЕ 文件 
明 管理 器 管理 器 。 ”管理 器 
| 着 功能 设备 安装 工具 





等 一 小 会 儿 ， 重 编译 就 完成 了 。 


>I: IETESÉUllibsEH3... (/lib) 
>І: 正在 编译 apk 文 件 ... 

>I: 复制 未 知 文件 /目录 ... 

APK 编译 完成 ! 

正在 对 APK #17525. ere 
APK 签名 完成 ! | 


АРК 所 有 编译 工作 全 部 完成 !!1 

生成 路 径 

file:D: иі сага # T JR E Tool Android VAndroidKiller : v1.3.1XprojectsM13000684BinM1300068 killer 
.apk 


如 果 我 们 启动 了 模拟 器 ， 可 以 使 用 右边 的 几 个 按钮 安装 并 运行 。 
此 外 ，* 工 具 "选项 卡 中 有 很 多 实用 工具 ， 大 家 可 以 一 一 尝试 。 


zm | та | Android 
° O lu x el [Hzu-»500 
编码 转 "Te 文件 搜 BEX Notepad Сас ci APK Ж DOS 
jà == 名 
BEX 签名 dër Kä 


АРК = 


在 这 里 下 载 软 件 。 


双击 ApkIDE.exe 启动 程序 。 如 果 是 XP 系统 局 动 不 了 它 ， 请 下 载 安装 Net 
Framework 2.0。 


第 一 次 启动 时 ， 软 件 会 自动 查找 系统 中 的 JRE 安装 目录 ， 如 果 没 有 找到 会 提示 你 
配置 SDK， 可 以 点 击 菜单 “工具 -> 配置 SDK' 对 JDK 进行 配置 ， 如 下 图 。 ° JDK 的 安 
装 路 径 必 须 配 置 ILES ， 则 无 法 进行 修改 操作 ) ° Android SDK 则 随意 (有 
些 功能 需要 用 到 它 ， 比 如 ddms 等 ， 但 这 些 功能 都 无 关 修改 工作 ) ° 


配置 Dk ”选项 | 
Java SDK(TDK) ж 
安装 路 径 : C:\Program Files (x8B8)*Java^jre8 


Android SDK 
Sam. ^ E:MDevelophandroid-sdk-windows 





| BEBO) || 确定 @) | 








单 击 菜单 “项 目 -> 打开 Apk" 选 择 要 修改 的 Apk 文件 〈 注 : 文件 名 称 必 须 只 有 字母 、 
数字 、 下 划 线 、 空 格 、 点 号 等 组 成 ， 不 能 包含 中 文 或 其 它 亚洲 字符 ) 。 





E) ez Ав МАУ IAO ERG SEM) 
id š Ë “© CG dà Gil Lei Wi utf-8 







Ls] Frameworks 


打开 工作 目录 (Ф) 
BERERE C)... 












|a max w- 





在 打开 Арк 文件 时 Арк 改 之 理会 先 对 其 进行 基本 的 解析 ( 646 LR ` @ dx 
限 等 )， 然 后 根据 该 apk 应 用 的 包 名 生成 它 的 同名 工作 目录 ， 如 果 这 个 工作 目录 已 
a dod cat í A 这 里 要 注意 ， 已 有 的 工作 目录 

аад ， 如 果 你 要 继续 这 个 修改 操 
作 ， 则 单 击 否 "继续 使 用 它 否则 就 重新 反 编 译 得 到 一 个 全 新 的 源 代 码 。 


工作 目录 已 经 存在 


=} 同名 工作 目录 “ 
) Е: Se, xiaomiren. game. xia 


ЕЕ omlrenplano 


[ШЕТ aA ШЕШ 次 的 修改 工作 ; 
Sch ch АТ 











提示 : 如 果 你 想 继续 日 工作 但 却 误 点 了 “是 "按钮 ， 也 不 用 担心 ， 删 除 的 目录 被 扔 进 
了 系统 垃圾 箱 ， 你 可 以 直接 去 系统 回收 站 恢复 。 恢 复 时 注意 ， 如 果 你 之 前 成 功 对 这 
个 应 用 进行 过 dex2jar 操作 (由 软件 在 反 编译 apk 时 自动 进行 ， 但 可 能 会 因 一 些 原 
因而 失败 ) ， 那 么 回收 站 中 会 看 到 两 个 同名 的 目录 ， 选 中 它们 右键 恢复 即 可 。 
(ik : 这 个 特性 Арк 改 之 理 2.1 或 更 高 版 本 中 有 效 ) 


3.1 静态 分 析 工 具 


现在 你 可 以 使 用 软件 的 搜索 、 替 换 等 功能 来 对 源 代码 进行 修改 ， 这 种 修改 包括 汉 
化 、 去 广告 、 改 名 、 赫 换 资源 、 图 片 、xx 等 。 下 图 中 各 个 图 标 按 钮 都 有 提示 文 
字 ， 可 以 将 据 标 巧 浮 在 按钮 上 显示 文字 提示 。 具 体 的 各 项 说 明 会 单独 写 个 文章 来 详 
IRAE ， 基本 上 也 没什么 难点 。 


KK iai c !gi qo юв 视图 WD IAR Spe £40) RDW 
ja d id ыш шко са а-о: 


fa ap « || Androidifuni fest. xal i 
f ENRE 7 i .Class final Lcom/wvaps/A: 
Ш m 120) ғ Super Ljava/lang/Object; 


Package net xiwcairen ( 


e = assets 
` about, hte 
і ħelp. hta 
m. helpl. png 


# direct methods 
.method constructor <init> (Ьсош/чарз/у; у 
‚1оса1з 0 





smie dem м -— Y ce) rmm Ў А 




















里 先 提示 一 些 没 有 说 明 的 小 功能 : 


这 
(1) 在 文件 树 上 ， 或 搜索 后 得 到 的 文件 列表 上 ， 按 住 Shift 键 并 单 击 和 鼠标 右键 会 直 
接 显 示 EEN 


EE 吉 果 面板 中 ， 搜 索 结果 列表 以 标签 的 形式 各 自分 
JF ^ FUE EAE EA EGREGIE EET 5 


(3) 工作 目录 下 的 第 一 个 build 目录 下 的 文件 不 会 被 搜索 (因为 这 个 是 Apktool 
编译 时 用 到 的 ， 与 我 们 的 修改 无 直接 关系 )。 


修改 完成 后 单 击 菜单 “编译 -> 编译 生成 Apk” 重 新 将 源 代码 打包 成 apk 文件 ， 新 生成 
的 арк 存放 在 原 арк 的 同 级 目录 下 ， 其 名 称 以 ApkIDE 开头。 


单 击 菜单 “编译 -> 获取 生成 的 "可 以 直接 在 资源 浏览 器 中 定位 到 арк 所 在 的 目录 。 


直接 测试 Арк 需要 用 到 菜单 “ADB” 下 的 菜单 命令 ， 如 果 你 已 经 将 设备 连接 到 电脑 ， 
或 者 直接 在 电脑 上 打开 了 安 卓 模拟 器 ， e i 
向 设备 或 模拟 器 安装 修改 生成 的 apk， 然 后 再 可 以 使 用 adb logcat 来 观察 其 运 
状况 。 
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如 果 发 现 ADB 相关 命令 不 起 作用 ° о adb devices 命令 查看 设备 是 否 
连接 成 功 (S sss Sy AL A 命令 窗口 输入 adb devices ) ， 也 可 以 
使 用 菜单 “工具 ->Dalvik Debug Monitor See (ddms) 来 测试 。 


JEB 


首先 在 这 里 下 载 软件 。 


打开 软件 之 后 ， 点 击 左 上 角 的 文件 夹 图 标 ， 之 后 选择 要 反 编 译 的 АРК 来 打开 文 
件 。 之 后 会 进 和 тян. 完成 后 ， ， 主 界面 是 这 o 





File Edit Action Window Help 


SS D ға Ged box H S х 





4 cn. jpush .android.service Certificates [Assembly M Strings constants | Notes | Decompiled Javi 
Was s = — 一 一 一 一 一 一 -一 一 一 一 一 
AlarmReceiver papspa 
PushReceiver .class public AlarmReceiver 
4 com |e super BroadcastReceiver| 
a Bdidücbdpdtzdh .source "ReceiverTemplate. java" 
, Е Field private realReceiver:BroadcastReceiver 
4 rytong.ceair 
BCMApplication .method public constructor «init»()V 
MyReceiver .registers 2 
4 secneo.guard .prologue 
ACall invoke-direct BroadcastReceive 
Helper const/A v0, 0x0 
iput-object vð, pð, AlarmRec 
c Sp return-void 
MyClassLoader end ай 
Util 


.method public onReceive(Context, Intent)V 
registers 8 
.param p1, "ctx" 
.param p2, "intent" 


¿prologue 

invoke-static Util->getCustom( 
move-result-object v1 

.local v1, cl:Ljava/lang/ClassLoader; 
if-nez Wis. Si? 











SE 


左边 的 树 形 图 会 显示 项 目 的 所 有 和 包 和 类 。 右 边 的 编辑 框 中 会 显示 Smali 代码 ， 以 及 
字符 串 等 资源 。 选 择 Decompiled Java 选项 卡 ， 还 会 看 到 对 应 的 Java 代码 。 





ен ға стғ4реохмс 








4 сп. јрчѕћ .android.service [Certificates [Assembly [Strings |Constants | Notes [Decompiled Java ED NL 
AlarmReceiver package com.rytong.ceair; 
PushReceiver 


import android.app.Application; 


4 com 
BE .Tocatidh import android.content.Context; | 
+ import android.content.res.Configuration; 
É import android.os.Build$VERSION; 
S —— і import com.secneo.guard.ACall; 
BCMApplication import com.secneo.guard.Helper; 
MyReceiver import com.secneo.guard.Util; 
4 secneo.guard import dalvik.system.DexClassLoader; 
ACall 
Helper public class BCMApplication extends Application { 
HelperX86 public static String FirstApplication; 
private DexClassLoader cl; 
ге public static Application realApplication; 
Uti 


static í 
BCMApplication.realApplication = null; 
BCMApplication.FirstApplication = "com.rytong.ceair.BCMAppli 


) 


public BCMApplication() í 














VTS (Virtuous Ten Studio ) 


打开 VTS 之 后 ， 首 先 我 们 需要 点 击 File->New Solution 新 建 一 个 solution : 





Viri 


Home View Compare & Backup ADB Extras Help 


* ng — ` 
Q Do BE 1011 


Find Configuration Data Binary 
Manager Directory ` Directory 
Clipboard Find & Replace Foldings Solution Explorer 


Solution Explorer 加 Welcome х 


国 





Click on File > New Project to get sta 


ainl2nS ОТИ 


Shortcuts 
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3.1 静态 分 析 工 具 





Virtuous Ten Studio - 3.6.30.14100 - Ele 


© 


[#INew Project lg.tensin » 
[*]New Solution CAUsersVAdministratoDocumentsWirtuous Ten Studio\Projects\lg 


Recent projects 





Open Solution 


X Open Settings 


Recent 
Changelog 


About 


X Exit 











接 下 来 需要 选择 要 反 编 译 的 文件 : 





Virtuous Ten Studio - 3.6.30.14100 - Elevated 


File Home View Compare & Backup ADB Extras Нер 


BERE s B 








LI 


























Kill Open 
Shell Console ADB ADB Loqcat 
Actions Tools 

13 Solution Explorer ~ D x 

z 

= 

© 

e 

Н 

š 

D 

Import a file = D x 
Local file You can get a local file from your HDD via selecting its path below. 
You can also directly fetch a remote file from a connected device (in 
[EUM most cases). Use the "Remote file" tab for this. 
Path | E] 
Import ` Cancel | 
Logs 
Timestamp Modul Text 
10.41.42 RNO [EE EZE EN LI 





之 后 是 项 目 类 型 、 项 目 名 称 、 解 决 方案 名 称 及 位 置 : 


gl 


3.1 静态 分 析 工 具 





回 


| Fe | Home View Compare &Backup АОВ Extras Нер 











B F 2 
Reboot ADB ADB Restart. Kill Open 
Shell Console АОВ АОВ Loacat 


Actions Tools 





ampas OTW [22] 





Timestamp Modul 
19:41:43.608 CreateNewProjectCommand.Execute 








Project wizard aborted. 


Virtuous Ten Studio - 3.6.30.14100 - Elevated 












Create new project 一 0O x 


me O 


Use the Apk-Project if you want 
Options to edit smali code, xml resources, 
apk embedded images, smali files 
Save and smali embedded images. This 
project is also suited for 
framework apks like framework- 
res.apk. 


Project 


Configurations 





Project-Settings 


Project Name ` LGCameraApp 





Binary E\work\apk\LGCameraApp.apk m 


Location C:\Users\Administrator\Documents\Virtuous Ten Studio\Projects - 











Solution Name [194 











Next Cancel 














19:44:22.085 — CreateNewProjectCommand.Execute Project wizard aborted. 
19:44:51.254 — CreateNewProjectCommand.Execute Project wizard aborted. 
ER ` Ze H x 
这 里 我 们 全 选 : 
Virtuous Ten Studio - 3.6.30.14100 - Elevated 
| Home View Compare & Backup ADB Extras Help 
# ADR oe ze = 
ADB ADB Restart Kill Open 
Shell Console ADB ADB Loqcat 
Actions. Tools 
ution Explorer ~ H 














bs 


imestamp 






Modul 
3:41:43.608 — CreateNewProjectCommand.Execute Project wizard aborted. 
3:44:22.085 — CreateNewProjectCommand.£xecute Project wizard aborted. 
3:44:51.254 — CreateNewProjectCommand.Execute Project wizard aborted. 
3:44:56498 — CreateNewProjectCommand.Execute Project wizard aborted. 


最 后 选择 Apktool 的 版 本 : 


















Create new project 






Project 


Please select your active project configuration. The configuration tells VTS how to handle tasks such as 
importing or building your binary. A configuration can be seen as a list of project specific settings. Each 
project can have multiple configurations but only one is active at any given time. You can customize 
your configuration(s) on the next page and in the project settings. 


Configurations 


Options 





Save 


Basic theming 
Basic code editing 
Advanced editing 
Basic HTC theming 
Advanced HTC theming 


Jack of all trades 




















Runs all available modules and uses all available optimizations. Will be slower than the more specialized 
configurations. 








Next Cancel 
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3.1 静态 分 析 工 具 





回 


Virtuous Ten Studio - 3.6.30.14100 - Elevated 


=s Ноте | View  Compare&Backup АОВ Extras Нер 













































































Es Lë + пп = 
саў, 
Q Do iu 1011 =) 
Find Configuration Data Binary — Backup 
Manager Directory — Directory Directory 
Clipboard Find & Replace Foldings Solution Explorer 
| Welcome x | 
= 
E Welcome to Virtuous Ten Studio 
多 
š Click on File > New Project to get started! 
Shortcuts 
Create new project - n x 
ustom option: 
EH Decompile resources 
FrameworkTag H 
DEM  AdditionalCommandlineFlags S(DefaultApkToolDecompileArgs) ` 
Features: Жаш ApkToolType UseNewest 
s 四 š 
* Shol Sign file 
* Eac| SignType TestKeys 
° Ead CustomSignCert = 
$ es CustomsignKey E 
ded Transfer file via ADB 
Rer TransferMethod Push 
* Cod PushPath /system/app/ H 
* Ju 
* Opt 
* Set 
Don't 
Logs 
Timestamp Modul cd 
193243375  PluginManeger.LoadPluginAssemblies — Successfully loaded 1 plugins 
19:32:51.296 — UpdateChecker SearchForUpdates Searching for updates, beta: False 
19:40:54,810  CreateNewProjectCommand£xecute Project wizard aborted. 
19:41:43.608 — CreateNewProjectCommendxecute — Project wizard aborted, 
19:44:22.085 — CreateNewProjectCommand.Execute Project wizard aborted. 
19:44:51.254 — CreateNewProjectCommand.Execute Project wizard aborted. 


























会 开始 反 编 译 








Virtuous Ten Studio - 3.6.30.14100 - Elevated 


Home View Compare& Backup АОВ Extras Help 


E = = 5 5 Ë 





а 
Actions 





а loi 
W: LGCameraApp (Jack of all trades) 


eimənns ОЦА [E] 





dee Ld 
m 


























0014 Update search 


Name Progress Message 
Leen т>: finished х 
0000 Deletngsoluton ENEEEEEEEEEEEEEEEEEE т: finished x 
0001 LGCameraApp: Import Ш Unzipping file x 


完成 后 可 以 在 左 侧 看 到 目录 : 


Logs 
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3.1 静态 分 析 工 具 


murw 


Solution Explorer 


а 17 192 
PE rs LGCameraApp (Jack of all trades) 
^ 8 assets 








b g original 

йй res 

b Ш smali | 
[3 AndroidManifest.xml 
Bj apktool.yml 





点 击 里 面 的 文件 可 以 查看 Smali 代码 : 











Cont 


Virtuous Ten Studio - 3.6.30.14100 - Elevated e 





Men Compae& Backup АОВ Etas Help Document  SmaliDocument 
"Is M 
三 
Q A Quick find. = = 
Find Fold әй Untold 
LJ 
Find & Replace. Foldings 





























在 文件 上 点 击 右键 ， 会 看 到 open Java Source : 





a — camera is s - 
6 adopter 1 | Liss public | = 
Рет 2 «Super Landroid/app/Activit 
SC 3 source "CameraActivity. java" 

ponent à 
Mi controller 5 | e interfaces 
e 6 | .inplenents Lcom/18e/camera/HedfatorgActiviryBridge7 
dialog ` 
di listeners s 
9 | # static fields 
йлн» 10 | „field public stetic eceneraAppact:Landrold/opp/ hctivitys 
ромен n 
" D 
RESCH 33 | s instance fields 
S receiver i4 | cht private configurationchangingiz 
sett 5 
ке» ы 16 | field protected mExtraTouchEventiistener:Lcon/ ge/ мега steners/ExteaTouchEventt Letener; 
9 
E Camcordersmali 18 | „field protected sFileurisLandroid/net /Uri; 
фа Pra 19 
Bicamcon Bega е „field protected mfrosVoluseKey:l 
В CamcorderMediator$2.smals n 
P CamcorderMediator.smok: 22 „field private mOldMardKeyboardHidden:l 
CameraActivity$ зтай < 
^ ii 2A | field protected someyevent Litenersicon/ Ye/canere/ Usteners/onteyeventtisteners 
36 | .field private wPhoneStoteListener:Landroid/telephony/PhoneStateListener; 
F) CameraApp.smali 27 
A š „| 26 | field protected mPostviesRequestDeleteDone:Z 
„field orotected mPostviesReauestDoAttach:z 
ResourceManager.LoadAnimationResour. No animat;ons.xml available. 
ResourceMnagerlosdBoclRezoures Мо boolsxmi available. 
ResourceManagerLoadColesResourtes Мо dedicated color folder. 
ResourceManager.LoadOimensionResour No dimensoml available, 
ResourceManager.LoadOrawableResoure No drowablesaml available. 
95152820 ` ResourceManagerLoadintegerResources No integersxml available. 
195152820  ResourceManagerloadPluralfesources Мо pluraltcum! available. 
3646/21017. ` Iauaanakmar anahmelauafilw tanan imua narenn rinas Sime fla OAI leard Aloninietratn Nmente Nanin Tea SuinhBurcartein3 Gf asnashan Mier) лаба олак mah ames arta гыйы inua 
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3.1 静态 分 析 工 具 





File Home View Сотраге 8: Васкир ADB Extras Help 


E z ae e 
Reboot B Restart 


ADB АР! Kill Open 
Shell Console ADB ADB Loqcat 
Actions Tools 





E Solution Explorer 
a =. camera 
^ p adapter 


b W command 


əimənns OTN 


> 3 components 
^ a controller 
^ g dialog 

r g listeners 

b 8 module 

> N postview 

^ g properties 
b 8 receiver 

> W setting 

b 


CameraActivity.smali 
[5] CameraApp.smali 
LD CameraHelpb$1.smali 








Timestamp Modul 


19:51:06.454 — ApkTool.DecompileApk ApkTool: I: Copying unknown files/dir... 
19:51:06 ds4 Anl Tonl Diecomnile Anl Anl Tanl: T Corinna nrininal filas 


我 们 点 击 它 ， 可 以 查看 Java 代码 : 
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3.1 静态 分 析 工 具 





=" 
i 
И 
| 
і 
; 

















ResourceManager.LoadBoolResources. No bools.xml available. 
195152799  ResourceManagerloadColorResources Мо dedicated color folder, 
ResourceManager.LoadOimensionResour No diment.xml available. 
ResourceManager LoadOrawablekesourci No drawablesoeml available. 
ResourceManager.LoadintegerResources No inteaers xml available, 











ResourceManager.LoadAnimationResour No animations.xml available. 


Virtuous Ten Studio ` 3.6.30.14100 - Elevated 


package com.lge.camero; 


dmport android.net.*; 

inport com. ge.canera, listeners, *; 
inport android.util.*; 

inport android.content.pa.*; 
inport con.lge.camera.cosponents.*; 
inport android.content.res.*; 
inport com.1ge.camera.controller,*; 





inport endroid.view.*; 
inport android.media."; 
import com.lge.camera.otil.*; 
inport android.app."; 
deport androíd.os."; 
inport android.content."; 





public abstract class CameraActivity extends Activity implements ActivityBridge 
t 


public stotic Activity sComeraAppAct; 
private boolean configurationChenging; 

protected ExtraTouchtventListener sExtraTouchEventListener; 
protected Uri sFileUri; 

protected int mfromvolumekey; 

private int mOldHardKeyboaróMidden; 

protected OnkeyEventListener mOneyEventlistener; 

private PhoneStatelistener mPhoneStateListener; 

protected boolean mPostviewRequestDeleteDone; 

orotected boolean sPostviewReauestDoAtt. 


АОВ ADE 
Shea Console. 
Actions. Took. 
z ooo 
z 4 < camera а 
5 
38 adapter 1 
| fico 3 
3 18 components. а 
vm controller. 5 
S dialog ; 
i listeners D 
` Wi module x 
a postview и 
Ml properties px 
di receiver з 
dl setting 15 
16 
LI] i? 
Ei Camcordes.smali 1 
E) CamcorderMedistor$smali s 
n 
22 
23 
2a 
25 
26 
27 
GE 
> 
зе 





我 们 可 以 点 击 Home->Build All 来 重 编译 














mm Context 
Home View  Compare&Backup ADB Extras Help 


[2 $ Q Semer x 


find 





Clipboard. 


lution Explorer 


find & Replace 


Ei 


um 
` 


S camera 

8 adapter. 

fi command 

i components 

a controller 

ж dialog 

Mi listeners 

ш module 

上 postview 

t m properties 

Wi receiver. 

Wa setting 

t шой 
Pj Camcorder.smali 
F) CamcorderMediatorS1.smali 
LD CamcorderMediator$2.smali 
E) CamcorderMediator.smali 


энцәпа$ 0 











月 CameraHeioslsmali 
















пп E 
no yn 


Push Configuration Data Binay — Backup 


















package com.lge.camera; 


import android.net.*; 
import com.lge.camera.listeners."; 





import com.lge_camera.components.*; 
import android.content.res.*; 

9 import com.lge.cemera.controller."; 
10 import com. lge.cəmera.propertie: 





n import android.telephony."; 
12 import android.view."; 
13 import android.media.*; 





14 import cos.lge.canera.util.*; 
15 import android.app 
16 import android.os.*; 

17 import android.content.*; 






































ResourceManager.LoadAnimationResour« No animations.xml available. 
ResourceManager.LoadBoolResources No bools.xml available. 
ResourceManager.LoadColorResources ` No dedicated color folder. 
ResourceManager.LoadDimensionResour. No dimens.xml available. 


Virtuous Ten Studio - 3.6.30.14100 - Elevated 


19 | public abstract class CameraActivity extends Activity implements ActivityBridge 
t 


21 public static Activity mCameraAppAct; 
22 private boolean configurationChangin| 
23 protected ExtraTouchEventListener mExtraTouchEventListener; 
24 protected Uri mFileUri; 
25 protected int mFromVolumeKey; 
26 private int mOldHardKeyboardMidden; 
27 protected OnKeyEventListener mOnKeyeventlistener; 
<| 28 private PhoneStatelistener mPhoneStateListene: 
29 protected boolean mPostviewRequestDeleteDone; 
30 Drotected boolean mPostviewReouestDoAttach: 


Text 
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3.2 抓 取 手机 封包 


作者 : 飞龙 


有 些 时 候 ， 我 们 只 是 想 要 获得 Web API。 这 种 情况 下 ， 就 不 需要 反 编 译 APK ° E 
接 抓 取 产 生 的 封包 即 可 。 


这 里 我 使 用 Fiddler 演示 一 下 如 何 抓 取 封包 。 
首先 在 这 里 下 载 Fiddler2 : https://www.telerik.com/download/fiddler/fiddler2 
这 个 程序 需要 .net 2.0 框架 ，Win7 之 后 自 带 ，XP 的 用 户 请 到 这 里 下 载 安 装 。 


安装 完成 之 后 打开 ， 访 问 菜单 栏 的 Tools->Fiddler Options ， 在 弹出 的 窗口 中 
选择 Connections 选项 卡 : 





General HTTPS Gateway Appearance Extensions Tools 


Fiddler can debug traffic from any application that accepts a HTTP Proxy. All WinINET traffic is routed 
through Fiddler when "File > Capture Traffic" is checked. 














Learn more... 
Fiddlerlistenson port: |8888 | [7] Act as system proxy on startup 

Copy Browser Proxy Configuration URL [7] Monitor all connections [C] Use РАС Script 

[C] Capture FTP requests 回 DefaultLAN 

[7] Allow remote computers to connect 

[7] Reuse client connections 

[v] Reuse server connections Bypass Fiddler for URLs that start with: 

«Joopback»; 

Help Note: Changes may nottake effect until Fiddleris restarted. OK Cancel 


左上 方 的 那个 框 就 是 端口 ， 设 置 成 与 本 机 其 它 进程 不 冲突 的 端口 号 ， 我 这 里 


元 8888 ° 


在 电脑 上 打开 控制 台 ， 执 行 ipconfig $& IP: 


сл 


C:NUsersNasus> ipconfig 


Windows IP 配置 


无 线 局 域 网 适配器 WLAN: 


连接 特定 的 DNS 后 级 ， 


本 地 链接 IPV6 地 址 . .，.,，.，.，..，.: fe80::90ab:67f0:5c:78d9%7 
JIN SOE oo oe op op SGS. deb 

子 网 掩 码 A , ，，，，，，，， :255.255.255.0 

EE EE E EE lee 


我 这 里 是 192.168.1.6 ° 


然后 打开 手机 或 者 模拟 器 。 (如 果 是 手机 的 话 ， 需 要 连接 到 同一 个 路 由 器 。 模 拟 器 
的 话 ， 位 于 同一 个 电脑 上 。) 访问 设置 ->WLAN ， 并 长 按 当 前 连接 的 WIFI : 


>40 2:21 


取消 保存 网 络 


修改 网 络 





弹出 对 话 框 后 ， 点 击 修改 网 络 


连接 速度 


100Mbps 


无 
IP 地 址 
172.16.152.15 


显示 高 级 选项 


取消 





72% 显示 高 级 选项 ， 将 "代理 ? 设 为 “手动 "， 并 在 主机 名 中 填写 上 面 的 IP， 端 口中 填 
写 上 面 设 置 的 端口 ， 并 点 击 保存 : 


WiredSSID 


172.16.152.15 


V 显示 高 级 选项 


XI 


对 以 下 网 址 不 使 用 代理 





之 后 打开 安 草 这 边 的 浏览 器 ， 随 便 访 问 一 个 网 站 ， 然 后 观察 Fiddler 的 窗口 : 


3.2 抓 取 手机 封包 





b 
8 
š 
d 


BBBBBEBBBBBBBE 
33333333333333 


Host URL 


Tunnel to 


Tunnel to 
m.baidu.com 
Tunnel to 
Tunnel to 
Tunnel to 
m.baidu.com 
Tunnel to 
Tunnel to 
Tunnel to 
Tunnel to 
Tunnel to 
Tunnel to 
Tunnel to 
Tunnel to 


m.baidu.com:443 


hm.baidu.com:443 
[static/index/plus/plus log... 
gss0.bdstatic.com:443 
ss0.bdstatic.com:443 
gssO.bdstatic.com:443 
[staticfindex/plus /public/t.. . 
ss0.baidu.com:443 

ss L.baidu.com:443 
gss0.bdstatic.com:443 
ssi.baidu.com:443 
ss2.baidu.com:443 
ssO.baidu.com:443 
ssO.baidu.com:443 
ss1.baidu.com:443 


781 
4,493 max- 


d ae wos эө 


了 Composer DJ Fiters Ë] Log — Timeline 
@) statistics DÉI Inspectors £ AutoResponder 
Headers | Техен | WebForms | HexView | Auth | Cookes [Raw | 
JSON | XML 






GET https://m.baidu.com/?from-844b&vit-fps HTTP/1.1 
Host: m.baidu.com 
onnection: keep-alive 

ache-Control: тах-аде=0 

Accept: text/html,application/xhtml«xml,application/xm1;qz-0.9,- 
User-Agent: мо2111а/5.0 Linux; Android 4.4.2; LG-H819 Build/KC 
Accept-Encoding: gzip,deflate 

Accept-Language: zh-CN,en-US;q-0.8 

ookie: BAIDUID-E472AB93C1DDEFBB35681A415CESGFC1:FG-1; H WISE 7 
X-Requested-with: com.android.browser 


«m > 
ИИИ 7777777 
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安 半 逆向 系列 教程 《四 ) 实战 篇 


Zen 大 大 ZR 
4.1 字符 串 资 源 
作者 : 飞龙 
这 篇 教程 是 APK 逆向 实战 的 第 一 个 例子 ， 我 会 以 一 个 非常 简单 的 程序 开始 。 主 要 


内 容 就 是 修改 字符 串 资源 ， 除 了 破解 所 需 之 外 ， 汉 化 也 需要 了 解 这 个 东西 。 我 们 的 
程序 是 这 个 样子 。 


18 Му Application 





可 以 告诉 大 家 的 是 ， 这 三 个 文本 的 位 置 都 不 一 样 。 
下 面 我 们 将 其 载 入 Android Killer。 完 成 后 ， 在 文本 搜索 框 中 搜索 文本 4 ° 


4.1 字符 串 资 源 


二 TS 
| IA Android 


主页 

v9.9 
打开 тт" 配置 XF 
文件 WE Ай | 帮助 | 





f F 9 app-release-unaligned 


Dress 回 工程 管理 器 rees 
搜索 字符 : Е 


文本 1 Ë 


Á [rite m 








e 
当前 整个 项 目 正在 接 索 中 ， 请 稍 等 ... 

未 搜索 到 任何 文件 ... 
文件 类 型 : ERER! 
.smali.xml|.bd|.htm|,html 
Эв: 


UTF8 


匹配 大 小 写 
搜索 进度 ; I 


这 样 是 不 会 有 任何 效果 的 ， 我 们 就 猜测 这 个 字符 串 应 该 是 写 入 代码 中 的 ， 而 反 编 译 
出 来 的 代码 中 的 字符 串 以 \ихххх 编码 。 所 以 我 们 要 搜索 Nu6587Nu672c 1 。 可 
以 看 到 它 的 确 存 在 于 代码 中 。 
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4.1 S RE 资源 





| IB Android e 


EE: 


打开 "— 
文件 | 视图 ' 选项 ` 帮助 
@ F 9 app-release-unaligned | 





Í = ` СФ) | ` MainActivity.smali 














а а [2] у = Р > 
теңе Dremma Te" — ых піл аә 16 E ә a 
搜索 字符 : 3 | 国 MainActivity.smali + || Ө protected onCreate (Landroid/os/Bundle;)V > 
\u6587\u672c 1 163 move-result-object vO ^ 
164 
165 check-cast v0, Landroid/widget/TextView; 
166 
^ 搜索 e 167 iput-object v0, p0, Lnet/flygon/myapplication/MainActivity;-»texti:Landro 
168 
BAG: 169 .line 25 
йч 170 iget-object v0, ро, Lnet/flygon/myapplication/MainActivity;-»texti:Landro 
171 
172 const-string vi, "iu6587Nu672c 1" 
173 
174 invoke-virtual (v0, vi), Landroid/widget/TextView;-»setText (Ljava/lang/Ch 
RBS 175 
E o м 
176 .line 26 
Р < > 
атал: 6:173 Sa 插入 Ë 
搜索 范围 : = 
- m ^ 
M ә \u6587\u672c 1 
文件 类 型 : 日 - smali\net\flygon\myapplication\MainActivity.smali 
.smali|.xml|.txt|.htm|.html M 
GRE: 
UTF8 ` 
TEANS 
搜索 进度 : sl Беан | 搜索 结果 | 方法 引用 
解码 : "文本 1 








下 面 我 们 要 寻找 文本 2 ， 我 们 首先 看 一 看 这 个 函数 ， 这 
是 MainActivity 的 onCreate 。 这 里 没有 其 它 的 字符 串 了 ， 说 明 一 定 在 别处 。 


我 们 搜索 Nu6587Nu672c 2 ， 也 是 无 效果 的 。 那 么 我 们 搜索 文本 2 ° 


67 


4.1 字符 串 资 源 





| $m | IA Android ө 
Z o ХӨ 
打开 ER RA 关于 
文件 视图 选项 帮助 














@ не 9 app-release-unaligned | 
| = Ф , | activity main.xml 
回 工程 信息 esea ess Y | = 
теве OI 8 — а X Fs ем |а ® |=} | £ 
SETS: S Е 
文本 2 
4 eight-"wrap content" android:layout margin-"2.0dip" android:text=" =. gt 
5 height-"wrap content" android:layout margin-"2.0dip" android:text-" /> 
^ m v 6 height-"wrap content" android:layout margin-"2.0dip" android:text="@string/text 
? 
BG: 
RBS 
= 
ч < › 
"M: 行 :5 P219 插入 
搜索 范围 : T 
当前 整个 项 目 Qxx2 
文件 类 型 : =- res\layout\activity main.xml 
.smali|.xml[.txt|.htm|.html 
FIRES: 
UTF8 
TEANS 
пи 5 
вш: [ 司 Dez | 搜索 结果 | 方法 引用 











<TextView android:textAppearance="?android:textAppearanceMedium" 
android:id-"Qid/textView" android:layout width="wrap_content" an 
droid:layout height-"wrap content" android:layout margin-z"2.0dip" 
android:textz" > 
<TextView android:textAppearance="?android:textAppearanceMedium' 
android:id="@id/textView2" android:layout_width="wrap_content" a 
ndroid:layout height-"wrap content" android:layout margin-z"2.0di 
р andrordi text= А 2 
<TextView android:textAppearance="?android:textAppearanceMedium" 
android:id="@id/textView3" android:layout_width="wrap_content" a 
ndroid:layout_height="wrap_content" android:layout_margin="2.0di 
p" android:text="@string/text3_text" /> 


REESEN 


我 们 在 activity main 里 面 找到 了 这 个 东西 ， 它 是 MainActivity 的 布局 文 
件 ， 布 局 文件 中 的 字符 串 是 不 编码 的 。 所 以 以 后 我 们 就 需要 两 种 情况 都 试 一 试 。 


我 们 查看 第 三 个 TextView ， 它 的 ID 是 @id/textView3 ， 那 么 肯定 就 是 我 们 要 
找 的 第 三 个 文本 框 。 我 们 可 以 看 到 它 的 text 属性 是 @string/text3 text ， 说 
明 它 可 能 在 strings.xml 里 面 。 


我 们 直接 访问 strings.xml ， 我 们 可 以 看 到 文本 3 在 这 里 : 


4.1 字符 串 资 源 


| = | IR Android 


EES | 配置 XF 
| 
视图 ` їй ` 帮助 








加 工程 信息 Dresses press 
сЕ а m|g |x 中 | 六 | 加 
| -F color 

D drawable-hdpi-v4 

8-1 drawable-mdpi-v4 

D drawable-xhdpi-v4 

| | drawable-xxhdpi-v4 


H 













| | values-w820dp-v13 





6-8 flygon 
| C | myapplication 


__Ф® |) activity main.xml | `) MainActivity.smali 0 strings.xml | 
| &|B X fle x |а ə |=}| £ 


| 1 <?xml version-"1.0" encoding-"utf-8"?» 


2 «resources» 
| 


3 <string name="action_settings">Settings</string> 
4 <string name="app_name">My Application</string> 
s «string name="hello_world">Hello world!</string> 
6 «string name-"text3 text'»EAESEEK/sc-inc» 
* «string name="title_activity_sub">SubActivity</string> 
8 </resources> 
3 
< шш 








(08:6 mm "A 


| 
[v] Gei | 搜索 结果 | 方法 引用 




















虽然 Android 不 提倡 硬 编码 在 代码 或 者 布局 文件 里 面 


们 就 需要 了 解 。 


， 但 总 


些 人 是 


`x 


1% 


样 做 的 ， 我 


69 


EL 


ФФФ %%%%@ 


ФФФФФФФФФФФФСФФФФ.ФФФФФФФФФФФФФФФФ0Ф%Ф 
9969696910 699069999, 909999:99970999994949 
916€990.:9999999)99 


ФФФФФФФФФФФФФ:ФсФФФФФФФФФФФФФФФФ0Ф0Ф%Ф 
9-9 9999,69569909960999909:9 29999: 














BR em tod 


"Dire JA UO UR 





微 信 扫 码 解 锁 后 ， 请 给 五 星 好 评 ! 


此 机 ID : 108316 














ii813— 133808 
KL 
SE 
' 
` 
>. 
[=] 1 


微 信 支付 自动 解锁 屏幕 














99009N999^99999949949N999199 ФУФФ,›ФФФФ 
999099609909099909099909109.:999999099999 










= n x 
主页 IR Android e 
打开 а SS XT 
d 
453 视图 XS 帮助 
会 到 1 
e MainActivity.smali Floatw.smali MT_Bin r0 ids.xml || | strings.xml public.xm ag 
а а : = 一 
Штезв Dresses Rees аы X г, |w x |а |= | š 
搜索 字符 [分 1 <?xml version-"1.0" encoding-"utf-8"?» 
2 «resources» 
密码 3 «string name-"MT Bin">Hello World, MainActivity!«/string» 
«string name-" ?m80x7f040001"»FileExplorer«/string» 
«string name-" ?m80x7f040002"> 开 始 之 前 ， 我 想 对 每 个 修改 源码 的 人 说 : 不 是 你 换 | 
E == - 6 «string n m" 80x7f040003" /> 
7 «string > -部 落 = 欢 迎 你 </string> 
8 <string name=" > 微 信 扫 码 解锁 后 ， 请 给 五 星 好 评 !</string> 
Ae Lin 
ERI 3 «string name-" ?п@0 040006"> 此 机 ID: «/string» 
10 «string name-" ?2п@0х7#040007">{# Е, EXE: 
11 «/resources» 
12 
E S 
< > 
SI 
— 8:10 — 5k38 插入 
搜索 范围 : Ф 
当前 整个 顶 = = - 
SAR € button ¿ androidid w 7f060002 , 28 
文件 类 型 : 3- res\values\strings.xml 
паў хта htm html š (0 “string name="_2m@0x7f040007">f88, Z487 </sting> í Vv f 
字符 编码 : 
UTF8 
TEANS 
I Wess C 0 
搜索 进度 el BETAH | 搜索 结果 | 方法 引用 














99999 9999919999994 m00x7f040007 999 969 pu 
9699999.9 
EE 0x7f040007 9 9n9 9u9 9 99 9 2136 


«public type-"string" name=" ?mQOx7f040007" id-z"Ox7f040007" /> 


£999.64 Java 
ФФФФФФФФФФФФФФФФ ФФ 


paramAnonymous2View - (TextView)Floatw.access$L1000002(Floatw.th 
is).findViewById(2131099651); 
paramAnonymous2View.setText(Floatw.this.getResources().getString 
(2130968583)); 


Qo PUES SESS 8ФФФФаФа%Ф 999999999, 


9969690909»999 


QOverride 
public void onClick(View paramAnonymous2View) 
{ 
int i = Floatw.this.my_password; 
if (this.val$etext.getText().toString().equals(String.valueO 
f(i))) 
{ 


paramAnonymous2View = Floatw.this; 
Floatw localFloatw = Floatw.this; 
try 


Class localClass = Class.forName("com.as.xiaoyu.Floatw" 


); 

paramAnonymous2View.stopService(new Intent(localFloatw 
‚ localClass)); 

return; 


catch (ClassNotFoundException paramAnonymous2View) 
{ 
throw new NoClassDefFoundError(paramAnonymous2View.get 
Message()); 


s РЭЙ 
/ @) í 


} 
KEE 


OOOO valsetext ФФФФФ;ФФФ í 999 699 6999595069 , 
2699999 6999999999,9999999 . 999999999 
9999666 - 6696669999.9669696 999019094 windows 
9909999999909 LinearLayout 9999999999999 
99909999999 














private void createFloatView() 


this. 


wmParams - new WindowManager.LayoutParams(); 


Application localApplication - getApplication(); 


ENTS. 


mWindowManager = ((WindowManager )localApplication.getSy 


stemService(Context.WINDOW_SERVICE)); 


this 
this 
this 
this 
this 


."wmParams.type = 2010; 
.wmParams.format = 1; 
.мтРагатѕ ,flags = 1280; 
.мтРагатѕ ,width = -1; 
.wmParams.height = -1; 
this. 


mFloatLayout = ((LinearLayout)LayoutInflater.from(getAp 


plication()).inflate(2130903041, (ViewGroup)null)); 


EMISE 


D 
this 


mwWindowManager.addView(this.mFloatLayout, this.wmParams 


.mFloatLayout.measure(View.MeasureSpec.makeMeasureSpec(0 


, ©), View.MeasureSpec.makeMeasureSpec(0, 0)); 


xe99 - 


999Dz 


9906099 69999 01990:9999999999994 


our 9j9.9v99 994 i 9 ny password 997099999999 


int my password = this.number * 2 + 1; 
int number = (int)((Math.random() + 1) * 100000); 


9990999909999: . 
99999444 OQO number 9 99.9.9999 number 9/69! 
99999999944 number 99 


Object localObject - (TextView)Floatw.access$L1000002(Floatw.this 
).findViewById(2131099650); 

String str - Floatw.this.getResources().getString(2130968582); 
((TextView)localObject).setText(str + String.valueOf(Floatw.this 
.number)); 


EE 


EEN 


number 


. “ФФФФФФФФФ 108316 ФФФФоФФФФФФОФФФФ 216 


99999.999949 z. 


ФФФФФФФФФФФФ 0999990949 
9999949 v94099 6 01000 99950 number 9060969946999 


localObject = (EditText)Floatw.access$L1000002(Floatw.this).find 
ViewById(2131099649); 


2131099649 9499 9 999 9I ox7f060001 99949499 , ФФ 9N 
999999999 


«EditText android:textColor-'Zff000000" android:id-"Qid/ ?mQOx7f 
060001" android:backgroundz"zffffffff" android:layout width-z"200 


.0dip" android:layout height-"4.0dip" android:layout marginEnd-" 
200.0dip" /» 


999 :99999999.11999 0O00 valsetext 99 OEIS 99 
9966996909p99999099 -9/€9990690999990999949 
u9999999x995999950995u99999999 - 999 XC 
9999935099n69599999.3090199-99J99 9)9 9 9c 3 
99970699996 


























05 =2452Е 


Авиз AA UO UR 





微 信 扫 码 解 锁 后 ， 请 给 五 星 好 评 ! 


此 机 ID : 197858 














ni813— 1319908 
[s] wa [=] 
' 
` 
. 
[=] d 


微 信 支付 自动 解锁 屏幕 














OOO -999999996099:9999099994€ 216633 999 
=ФФФФФФФФФ:ФФ 


Hello World, MainActivity! 





ФФФФФФФФФФФФФФФ5ФФ ФФФФ9ФФФФ 99 


Yo 


° @@@@@@%1%%21%0%@%@%%Q@%%9% - 000000000000 


4.3 登山 赛车 内 购 破解 
作者 : 飞龙 


首先 在 这 里 下 载 游 戏 : http://g.10086.cn/game/760000032287? 
spm=www.pdindex.android.addjgame.1 


我 们 要 破解 的 东西 是 这 个 ， 获 得 金币 : 


DH 
H 
"м 
TI 
> 
be p — 
GA 
weg 





点 击 之 后 会 有 个 弹出 框 ， 我 们 随便 输入 一 些 东西 ， 然 后 点 击 “ 确 认 支 付 ”: 


0000008 


Gi 
Dii 
gp 
5i 
H 
Sr 
二 
Hn 
= 





出 现 了 “短信 验证 码 验证 失败 "的 Toast ° 


好 ， 信 息 收 集 完 毕 ， 将 程序 拉 进 Android Killer : 


4.3 登山 赛车 内 购 破解 








P. android.permission.ACCESS МЛЯ. 
 endroid.permission.SEND SMS 
EL android.permission.READ CONT, 


MProjJect$rciclasses.dex -> .Nclasses-dex2)ar.Jar 
KETA 


epai Epor i 3538 BT VR buy (E to tik try T AES CT Ime RU 
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4.3 登山 赛车 内 购 破解 


«string name-"gc package password"> 窗 BU</string> 
<string name-"gc package login remind"> 登 录 移动 用 户 中 心 </atring> 


«string name-"gc package remember account"> 记 住 帐号 </ string> 

«string name-"gc net remember _account"> 记 住 号 码 </string> 

«string name-"gc | package - loginning"> 正 在 登录 .. .</string> 

4string name-"gc package login”">Ë Æ</string> 

«string name-"gc package no login"»í5 ЗН ER, TARR, WAER Rt 
«string name="gc package register"»UK BiEAT-/ string» 

«string name-"gc start music _aakn> 是 否 开启 音效 ? «/string» 

«string name-"gc start music tip 1" WR. </string> 

«string name-"gc start music tip 2 在 医院 、 办 公 室 等 公共 场所 <ystrcing> 
«string name="gc start music tip 3"> 请 关闭 游戏 音效 </string> 

<string name-"gc security sme err'»38 EE F /string» 


et rm bg bone aaririrm oto aces MERT Ter en reen 




















我 们 发 现 它 在 strings.xml 里 面 ， 它 的 名 称 是 дс security sms err 。 老 方 
法 ， 搜 索 这 个 名 称 : 
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4.3 登山 赛车 内 购 破解 





&la p X m e n|@ w |= | + 

296 «public type-"string" name*"gc billing message title"” id-"Ox7fO07000f" /> 
<public type-"string" name-"gc billing message content" 1@="0х72070090" /> 
«public type-"string" neme-"gc billing piccode tipO" id-"0x7f070091" /> 
*public type-"string" name-"gc billing piccode tipl" id-"0x7f070092" /> 
<public type-"string" name-"gc billing piccode tip2" id-"0x7f070093" /> 
*public type-"string" name-"gc package account" id-"0x71070094" /> 
<public type-"string" name-"gc package password" id-"0x7f070095" /> 
«public type-"string" name="gc package login remind” id-"0x71070096" /> 
«public type-"string" name-"gc package remember account" id-"0x7f070097" /> 
<public typez"string" name-"gc net remember account" id-"0x7f070098" /> 
<public type-"string" name-"gc package loginning" id-"0x7f070059" /> 
<public types"string" name="gc package login" id-"Ox7f07009a" /> 
«public type-"string" name-"gc package no login" id-"Ox7f07009b" /> 
«public type-"string" naxe-"gc package register" id-"Ox7f07009c" /> 
*public type-"string" name-"gc start music ask" id-"0x7f07009d" /> 
«public type-"string" n&me-"gc start music tip 1" id-"Ox7f0700Se" /> 
«public type-"string" name-"gc start music tip 2" 10""0х7207009#" /> 
«public types"string" n&mes"gc start music tip 3" ide"Ox7f0700&0" /> 
«public type="string” name-"gc security sms err" 1а" ИШТИ” > 
«public types"string" n&mes"gc security ріс err" id="0x7f0700a2" /> 
«public type="string” name-"gc security pic no" id-"Ox7f0700e3" /> 
«public type-s"string" n&me*"gc security password err" 14="0х710700а4" /> 
£mnhi:c tunesz"arrinng" памет ич mix hiiiin infa 1" ide"üw7fn?ünhnas" /> 











297 
298 
299 
300 
301 
302 
303 
304 
305 
306 
307 
308 
309 
310 
311 
312 
313 





е ves valoss publie xml 
Tee values strings xml 














我 们 在 public.xml 中 发 现 了 它 的 ID ° ox7fo700a1 。 我 们 搜索 这 个 值 。 
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AB 
GA 
Vë 
= 
3 
4% 
Ki 
JS 
Ж 
Im 
E 





field public static final gc security passuvord err:l = Ox7f0700a4 


„field public static final gc security pic err:I = 0х710700а2 





field public static final gc security pic no:l = 0х720700а3 


.field public static final jc security sms err:T = 00020 





field public static final gc start music озк:І 3072070094 

field public static final gc start music tip 1:1 = 0х7707009е 
„field public static final gc start music tip 2:1 = 0х7#07009# 
.field public static final gc start music tip 3:1 = Ox7f0700a0 


„field public static final gc unexpected response format:I = 0x7f070076 





„field public static final gc yes: = 0х71070079 


„field public static final mygsmez apkname:I = 0x7f070126 


en » . . - a mannna 








- res valuesipublic xml 
«public type string" namez*gc security sms err^ id * 076070021 * /> 


È- — ичте 





然后 就 没 下 文 了 。 我 们 没有 找到 任何 使 用 这 个 值 的 地 方 。 只 能 从 其 它 方面 入 手 。 


我 们 从 前 面 可 以 得 知 ， 付费 用 的 是 移动 的 接口 ， 我 们 搜索 onresult ， 这 是 移动 支 
付 API 的 关键 字 ( 问 我 怎么 知道 的 ， 这 个 API 是 有 开发 者 文档 的 ， 大 家 可 以 搜索 一 
T) : 
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Android Killer V1.3.0.0 INS 
zm IH ` Android 
oi o Ë - z 
к Ë G 
WG ER sn 
| Zä 
f Ta £ 19.10086.mjDSSCZTCLX 
[] яЯгюдзәт | ] publicoml | `) R$string.smal ChinaBillingPayC allback$1.smali 
Breas Oresma Oer? а Mim X Єз | гъ|да || £ = A 


REAS: [D ChinaBillingPayCallback$1.smali ~| @ constructor «init» (Lcom/mygemez/billing/ChinaBillingPayCallbackije ~ 


onresult > 
return-void 1 
„end method 


^ m= - 
# virtual methods 
.method public onRPs*uült(ILj&v&a/1ang/String:;Ljav&/lang/Object;]V 
.locals 5 


param » "code" 8I 

param p2, "billingIndexCNMCC" # Ljava/lang/ String; 
.param рз, "obj" # Ljava/lang/Object; 

prologue 


line 29 
move vl, pl 


.line 30 
.local vi, "resultCode":I 
const/4 v2, 0x1 


if-ne pi, v2, :cond 1 


£:38 4:27 fA 











v % Ж v ge security sms err. w 071070021 w ge security sms еті onresult 
smaliNcomymygamezAbillingXChinaBillingPayCallbackS1.smali 


$- smaliicomimygamezicommonVPromoCodoSystom$1$1.smali 

$- smalilcomVmygamezVcommonVPromoCodeSystem$1.smali 

CG smalilco mimygamezVcommonVPromoCodeSy stem $Pro moCodeCallback.smali 

£ smaliicomymygamezicommonPromoCodeSyctem $Pro moCodeC heckSender.smali 
Р smaliicomymygamezVcommonVPromoCodeSystem.smali 

$- smaliVorgXcocos2ebAlibACoco s2dxActi vity$2.smali 


Déier" ЖУА | 方法 引用 





一 下 子 就 出 现 了 ° chinaBillingPaycallback$1 。 下 面 就 是 要 好 好 分 析 这 个 类 


这 个 类 只 有 一 个 onResult 方法 ， 也 就 是 说 只 是 一 个 闭 包 ， 而 且 也 没有 什么 特别 有 
用 的 信息 : 


public void onResult(int paramInt, String paramString, Object pa 
ramObject) 
{ 
int i = paramInt; 
BillingResult localBillingResult = new BillingResult(); 
localBillingResult.setResultCode(i); 
localBillingResult.setBillingIndex(this.val$billingIndex); 
localBillingResult.setReturningObject(paramObject); 
localBillingResult.setCode(paramString); 
Log.i("MySDK Billing Java", "CMCC object toString(): " + par 
amObject.toString()); 
Log.i("MySDK Billing Java", "CMCC result: " + localBillingRe 
sult.toJSON()); 
this.this$0.1aunchResultReceived(localBillingResult); 
} 


4.3 登山 赛车 内 购 破 解 


反正 我 是 没 看 出 来 。 再 看 一 看 ， 这 个 类 所 在 的 包 是 com.mygamez.common ， 而 软 
件 的 包 是 con.fingersoft.game ， 等 于 说 这 个 类 是 别人 的 API? RAA 22 
辑 。 


我 们 换个 方式 ， 搜 索 Billing 





主页 工具 Android e 


v @ җ @ 


打开 "ET RE | 关于 
文件 视图 选项 帮助 
@ F E [g.10086.cn]DSSCZTCLX 




































Ф) 门 MainActivity$1.smali |) ChinaBillingPayCallback$1.smali | | J ChinaBillingPayCallback.smali («I 
а " == 
О 工程 信息 回 工程 管理 器 Отееж а mim X s | s| @ = |= E 2 ES 
搜索 字符 : [4] LC ChinaBillingPayCallback$1.smali ~ 
| Billing 148 :cond 1 ^ 
149 const/4 v2, 0x3 
150 
151 if-ne pl, v2, :cond 2 
^ 搜索 v 152 
153 .line 33 
MU 154 const/4 vi, 0х3 
ELFA 168 
156 goto :досо_0 
157 
E 158 .line 34 
159 :сопа_2 
таша d 160 const/4 v2, Ох2 
D 161 v 
« > 
sess em Pk39 插入 
搜索 范围 : Ф 
SEANA — - - - - ss 
NEUES — ChinaBillingPayCallback ‘a ChinaBillingPay 2 Billing ‘d Result — Billing 2 onresult ' Result о Billing KIE] 
文件 类 型 : H res\values\strings.xml 
Í smali|.xml|.txt|.htm|.htm| 由 - res\values\styles.xml 
+- smali\com\fingersoft\game\HCRApplication.smali 
FIRE: | x 
UTF8 H smali\com\fingersoft\game\MainActivity.smali 
由 - smali\com\fingersoft\hillclimb\en\RSstring.smali 
匹配 大 小 写 H- smaliNcom\fingersoft\hillclimb\cn\RSstyie.smali 
[ 4 ш 
Г | asss, [v] assi | 搜索 结果 | 方法 引用 








除了 底下 的 两 个 资源 类 ， 有 三 个 游戏 包 中 的 类 出 现 了 Billing 。 第 一 个 类 是 一 
个 Applicaion ， 只 有 如 下 代码 : 


public void onCreate() 


{ 
} 


MyBilling.applicationHeater(this); 


再 看 看 MainActivity$1 ， 它 也 是 一 个 闭 包 ， 只 有 onchinaBillingResult Z 
法 ， 这 就 非常 重要 了 。 由 于 它 的 java 反 编 译 结果 不 可 读 ， 我 们 直接 看 Smali: 
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invoke-virtual {p1}, Lcom/mygamez/billing/BillingResult;->getRes 
ultCode()I 


move-result v2 


packed-switch v2, :pswitch data 0 


开头 有 这 么 一 段 代码 ， 我 们 跳 到 :pswitch data 0 4b: 


:pswitch data 0 
.packed-switch 0х1 
:pswitch 0 
:pswitch 1 
.end packed-switch 


由 于 判断 的 是 某 个 АРІ 的 返回 代码 ， 按 照 惯例 ， о ЖЕЖ, алт ЖА 
以 跳 到 :pswitch 1 分 支 : 


:pswitch 1 
iget-object v2, ро, Lcom/fingersoft/game/MainActivity$1;-»-this$0: 
Lcom/fingersoft/game/MainActivity; 


invoke-virtual (v2), Lcom/fingersoft/game/MainActivity; -»-getAppl 
icationContext()Landroid/content/Context; 


move-result-object v2 

const-string v3, "Nu4ed8Nu6b3eNu5931*Nu8d025" 

const/4 v4, Ox1 

invoke-static (v2, v3, v4), Landroid/widget/Toast; -»makeText(Lan 
droid/content/Context;Ljava/lang/CharSequence; I)Landroid/widget/ 
Toast; 

move-result-object vi 

.line 301 

.local м1, "toast":Landroid/widget/Toast; 


invoke-virtual {v1}, Landroid/widget/Toast; -»show()V 


goto :goto O 
gl = 





那个 字符 串 是 “付款 失败 "， 这 么 多 代码 其 实 就 
日 


ж Toast.makeText(this.this$0.getApplicationContext(), "付款 失 败 "，1). 
。 这 应 该 就 是 异常 分 支 了 。 


至 于 接 下 来 的 修改 ， 这 个 方法 第 二 行 move-result v2 ， 改 
成 const v2, 0x0 ， 完 事 。 


写 到 这 里 其 实 还 有 一 个 问题 ， 就 是 代码 中 的 字符 串 和 实际 实现 的 对 不 上 。 这 个 
我 也 不 知道 为 什么 ， 但 是 既然 有 这 种 情况 ， 就 要 想 别 的 方法 。 


4.4 逆向 云 播 VIP 


作者 : 飞龙 


这 次 的 软件 是 刀 哥 云 播 ， 在 这 里 下 载 : http://www.xuepojie.com/thread-23860-1- 
1.html 


我 们 先 分 析 一 下 行为 : 
打开 之 后 的 界面 是 这 样 ， 并 弹出 一 行 消息 : 


您 呈 前 还 不 是 VIP, 可 簧 动作 者 获得 ViP 


H 





我 们 先 点 击 "福利 ”， 弹 出 这 样 一 行 字 。 


HEE wes 


三 上 
不 能 使 用 会 员 功能 





然后 我 们 点 击 那个 "设置 "， 在 设置 界面 上 ， 我 们 如 果 上 点击" 加 入 会 员 ”， 弹 出 这 样 一 行 
消息 。 


加 入 QQ 群 


864394102162031 


加 入 会 员 


конк 





然后 我 们 将 其 拖 进 Android Killer， 发 现 它 是 e4a 


4.4 逆向 云 播 VIP 


f me Deg 


Brims Oresme Ответ 
zem: DFTN 
&&: comdgplay [> 
| АП: comadazuntime.android Start, | 
版 本 信息 : Мег: 6.56) SDK : 8 TargetSDK : N/A 
2 Ehl 
A com.eda.runtime.android.StartActivity 
A com.e4a.runtime.android.mainActivity 
A com.umeng.update.UpdateDialogAct 
A com.eda.runtime.components mpl.an 
A com.eAa.runtime.components.impl.an 
А com.eda.runtime.components implan 
А com.eda.runtime.components implan 
A com.e4a.runtime.components.mpl.an 
A com.eda.runtime.components.impl.an 
Receiver 
^1 Service 
5 com.umeng.update.net.Downloading* 








^ Uses-Permission 


a a... 


我 们 直接 搜索 “会 员 ， 没 有 任何 结果 。 可 见 еда 直接 将 字符 串 硬 编码 进 代码 里 。 





一 z: acm L 
а BG X Pile ем|4а®|=}| 4 = š 





山 








Y KI public static (Ljava/lang/String;Ljava/lang/String)[Ljava/lang/String; ~ 




















.local v3, "s":Ljava/lang/String; ^ 


new-instance v3, Ljava/lang/String:; 


$ "s":Ljava/lang/String: 


invoke-direct (v3. v0. v4. v5!. Liava/lang/Strina:-»«init»([CIIMV 









































Grease Dresses 
етэ: EE 
25 238 
239 if-lez vi, :cond 1 
240 
241 .line 116 
243 
npg 244 .end local v3 
Б 245 const/4 vi, 0х0 
246 
\247 array-length v5, v0 
248 
249 sub-int/2addr v5, vi 
250 
251 
« 
搜索 选项 : 
搜索 范围 : 
当前 整个 项 目 iEXEdS Ee. Sms 
Xem : SERA NETT 
.smali|.xml|.txt|.htm|.html 
字符 编码 : 
UTF8 
© EB 
gess: "| pen жат 方法 3| 用 





我 们 搜索 它 的 Unicode 编码 ， 


Nu4flaNu5458 试 试看 : 
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a \u4f1a\u5458 
3 smali\com\dgplay\ 程 序 窗口 .smali 


const-string v0, "\u60a8\u76ee\u524d\u4e0d\u662Au4fla\u5458\u54e6 Vn \u4e0d\u80fd\u4f7fA\u7528\u4flia\u: 

const-string v0, "\u60a8\u76ee\u524d\u4e0d\u662f\u4f1 a\u5458 Vu54e6 Vn \u4e0d\u80fd\u4f7Au7528\u4fiau 

const-string v0, "\u60a8\u76ee\u524d\u4e0d\u662Au4fla\u5458\u54e6 Vn Wu4e0d\u80fd\u4f7fAu7528\u4fla\u: 
-smali\com\dgplay\ 设 置 窗口 .smali 

const-string v1, "\u52a0\u5165\u4f1a\u5458" 

const-string v1, "\u8f93\u5165\u5145\u503c\u5361\u52a0\u5165\u4f1a\u5458" 





4 in 


一 共有 四 个 。 程序 窗口 类 中 有 两 个 ， 都 在 图 片 列 表 框 1$ 表 项 被 单 击 方法 中 。 内 容 
都 是 “您 目前 不 是 会 员 ...”。 设置 窗口 里 的 都 是 “加 入 会 员 ， 是 按钮 的 标题 ， 和 破解 没 


大 大 关系 。 
我 们 点 击 第 一 个 ， 文 本 附近 的 代码 是 这 样 : 


.line 27 
:cond 4 
if-nez v0, :cond 1 # return-void 


.line 28 

const-string м0, "Nu60a8Nu76eeNu524dNu4e0dNu662fNu4Af 1aNu5458Nu54 
еб Nn Nu4e0dNu80fdNu4f 7fNu7528Nu4f1aNu5458Nu529fNu8Ofd" 4 您 目前 
不 是 会 员 


invoke-static {v0}，Lcom/e4a/runtime/ 应 用 操作 ; -> 弹出 提示 (Ljava/lang 
/String;)V 


goto :goto O # return-void 
经 分 析 可 得 ， 这 个 是 失败 分 支 的 代码 。 然 而 :cond_1 不 是 成 功 分 支 ， 它 直接 指 
向 return-void ， 所 以 关键 跳 应 该 不 在 这 里 。 由 于 安 章 程序 编译 后 的 Smali 是 打 
乱 的 ， 应 该 在 跳 到 :cond 4 的 地 方 。 
我 们 在 相同 方法 中 寻找 ， 只 找到 一 处 满足 要 求 的 地 方 : 


# 项 目 索引 
.param p1, "Nu9879Nu76eeNu7d22Nu5f 15" HI 


.prologue 
const/4 v3, 0х1 


.line 11 

.line 12 

if-nez p1, :cond 2 

# pi 为 © 时 的 操作 ( 随 播 ) 


, Line 19 

:cond 2 

if-ne p1, v3, :cond 5 
# pi 为 1 时 的 操作 (短片 ) 


.line 20 
sget-boolean v0@，Lcom/dgplay/ 公 用 模块 ; ->vip:Z 


, Line 21 

# 关键 跳 

if-ne v0, уз, :cond A 
# 启动 短片 窗口 的 代码 
fo 


要 注意 这 个 回调 对 应 图 片 列表 框 ， 就 是 主 界面 上 的 六 个 按钮 (请 见 图 1) ° X 
中 pi 是 被 选中 项 ， 按 照 惯例 是 从 0 开始 ， 从 左 到 右 从 上 到 下 。 我 们 刚才 查看 的 这 
段 代码 是 oi 为 1 情况 下 的 ， 也 就 是 你 点 击 右上 和 角 的 按钮 之 后 会 触发 。 


(虽然 我 们 实际 上 不 推荐 把 六 个 回调 都 写 到 一 个 函数 ， 因 为 它们 是 六 个 不 同 的 加 
辑 ， 但 是 由 于 这 是 别人 的 代码 ， 只 能 驴 了 。) 


我 们 可 以 看 到 pi 为 1 时， 首先 获取 了 com/dgplay/ 公 用 模块 的 vip 静态 字段 ， 
判断 它 是 不 是 1 (уз) ， 是 的 话 就 启动 窗口 ， 不 是 的 话 就 弹出 消息 。 

我 们 还 有 另 一 个 提示 不 是 会 员 的 位 置 ， 也 就 是 我 们 之 前 测试 过 的 “福利 "按钮 (ris 
34) 。 我 们 点 过 去 看 看 : 


Line 41 
:cond 9 
const/4 v0, 0x4 


if-ne p1, v0, :cond c 
4 p1 为 4 时 的 代码 


.line 42 
sget-boolean vO，Lcom/dgplay/ 公 用 模块 ; -»vip:Z 


.line 43 


4 关键 判断 

if-ne vO, v3, :cond b 
# 启动 福利 窗口 

# ... 


.line 48 
:cond b 
if-nez vO, :cond 1 # return-void 


.line 49 
const-string м0, "Nu60a8Nu76eeNu524dNu4e0dNu662fNu4f 1aNu5458Nu54 
еб Nn Nu4e0dNu80fdNuAf 7fNu7528Nu4Af 1aNu5458Nu529f Nu8Of d" 


invoke-static {v0}, Ісот/еда/гипёіте/ 5 Ж/Е; -> 弹出 提示 (Ljava/lang 
/String;)V 


goto/16 :goto ӨО # return-void 


果然 还 是 根据 这 个 字段 。 我 们 猜想 这 个 静态 字段 是 控制 当前 用 户 是 否 是 VIP 的 字 
段 。 为 了 减少 工作 量 ， 以 及 避免 可 能 的 瞳 柱 ， 我 们 不 要 直接 改动 判断 ， 而 是 将 这 个 
字段 赋 成 1。 


但 是 ， 在 静态 构造 器 中 将 这 个 字段 赋 成 1 是 不 行 的 ， 因 为 主 界面 中 可 能 有 将 它 重新 
赋 成 0 的 代码 。 我 们 搜索 Lcom/dgplay/ 公 用 模块 ;->vip ， 结 果 如 下 


Ф Lcom/dgplay/Z: Fif&tz-- » vip 
smali\com\dgplay\ 主 窗口 .smali 
sput-boolean v0, Lcom/dgplay/ 公 用 模块 ;->vip :Z 
sput-boolean v1, Lcom/dgplay/%:F81832;- > vip :Z 
3- smali\com\dgplay\ 程 序 窗口 .smali 
sget-boolean v0, Lcom/dgplay/Z: FEIBSS:- » vip :Z 
sget-boolean v0, Lcom/dgplay/ 公 月 模块 ;->vip :Z 
зтаі\сот\адріау\ 7101 .5таіі 
sget-boolean v0, Lcom/dgplay/ 公 用 模 块 ;->vip :Z 
smali\com\dgplay\ 设 置 窗口 .smali 
sput-boolean v0, Lcom/dgplay/Z: FEIBS:- » vip :Z 


主 窗 口 和 设置 窗口 有 赋值 。 设 置 窗口 那个 不 用 看 了 ， 因 为 是 购买 VIP 的 地 
定 是 将 其 赋值 为 1， 那么 主 窗口 中 : 


У 
-4 
9 
c 


# 第 一 处 

, Line 16 

const/4 v0, Ox1 

sput-boolean уб, Lcom/dgplay/2- 3k; ->Vip:Z 


# 第 二 处 

, Line 18 

:cond 0 

const-string vO, "\u60a8\u76ee\u524d\u8fd8\u4e0d\u662fVIP,\u53ef 
\u8d5e\u52a9\u4f5c\u8005\u83b7\u5f97VIP" 


invoke-static {v0}，Lcom/e4a/runtime/ 应 用 操作 ; -> 弹出 提示 (Ljava/lang 
/String;)V 


.line 19 
# v1 为 0x0 
sput-boolean vi, Lcom/dogplay/2- EË j 3k; -»vip:Z 
goto :goto_0 
这 两 处 都 在 多 线程 1$ 取 网 页 源码 2 完毕 部 数 中 。 当 然 第 二 处 是 将 其 赋 为 0 的 地 方 ， 


通过 分 析 逻 辑 得 知 ， 这 个 是 失败 分 支 ， 而 另 一 个 是 成 功 分 支 。 我 们 向 上 找到 关键 跳 
转 : 


# 关键 跳 转 
if-eqz v0, :cond_0 


第 一 处 


+ H ж 


把 这 名 去掉 ， 就 可 以 了 。 重 新 编译 、 打 包 ， 大 功 告 成 。 


4.5 糖 采 星星 达 人 
作者 : 飞龙 
软件 在 这 里 下 载 ` http:/www.anzhi.com/soft 2539282.html 


第 一 次 进入 游戏 之 后 ， 会 弹出 来 一 个 “新 手 礼包 ” 关 掉 之 后 ， 点 击 “ 新 游戏 ”， 之 后 进 
入 “关卡 1-1*。 我 们 点 击 左上 角 的 加 号 ， 会 出 现 这 个 界面 : 


4.5 糖果 星星 达 人 


1 * Fb 


DEES 12 ты | m) 


M 


提示 : 抢 礼包 咯 ! 礼包 内 包含 60 个 钻石 ! 


И xF, faxak ` 
Fi |: - "T1 ma: ы ; jt 





A1 点击“ 领取" 之后， 会 弹出 “支付 中 ， 等 待 支付 结果 "。 如 果 你 是 用 模拟 器 玩 的 ， 过 
一 会 儿 会 弹出 “购买 失败 ”: 
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提示 : 抢 礼包 咯 ! 礼包 内 包含 60 个 钻石 ! 


您 将 通过 短信 
会 获得 60 个 钻 
如 有 问题 请 


条 购买 ， 成 功 将 
返回 不 扣 费 。 
09908188, 










信息 收集 完毕 ， 拖 入 Android Killer : 


й == Be tglWorking] 





Ф 
同 工程 信息 Orreik B Less 
déi к: RSR A 
d £ BS: comkdv happy 
Set AD: com rash 
版 本 信息 Vor: 14.2(14) SDK : 8 TargetSOK : .. 
> comugexn.sakJ«usnservice 
5 comugexin.download.DownloadS 
5 comigexin.getuiext.service.Getui 
$. com.easefun.starcrash.NotifyServi 
5 com.easefun.starcrash.DownLoa 
| Uses-Permission 
P android.permission INTERNET 
P android.permission.ACCESS № 
Р. android.permission.READ PHONE 


搜索 “购买 失败 ”， 上 下 文中 应 该 会 有 “购买 成 功 ”。 直 接 搜 索 原 文本 是 没有 用 的 ， 这 里 
我 就 不 演示 了 ， 要 搜索 Unicode 编码 形式 Nu8d2dNu4e70Nu5931Nu8d25 ° 
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e starcrash$THandler.smali 





iess ses 回 工程 搜索 vi o 123 
工程 信息 GQ 工程 管理 器 Or — alim X fle eie Ix = š 
搜索 字符 : [S || [J) starcrash$THandler.smali 
172 .line 265 
173 invoke-static (), Lcom/easefun/starcrash/starcrash;-»dismissProgressDialo 
174 
175 .line 266 
Á EZ v 176 invoke-static (v7), Lcom/easefun/iap/StarJNI;-»sendMessage(I)V 
177 
“=a 178 oto :got 
ERF 178 ш - 
^ 180 line 26 
181 pswitch 
182 sget-object v4, Lcom/easefun/starcrash/starcrash;-»context:Landroid/conte 
183 
p 185 
ЫЙ $ 
选项 
"- 行 184 Sa 插入 
搜索 范围 : 
当前 整个 项 目 T 
ç \u8d2d\u4e70\u5931\u8d25 
文件 类 型 : 3- smali\com\easefun\starcrash\starcrash$THandler.smali 
.smali|.xml|.txt|.htm|.html geed. v 
OS: 
UTF8 
匹配 大 小 写 
搜索 进度 v| Баён | 搜索 结果 | 方法 引用 











在 starcrash$THandler.smali 的 handleMessage 方法 中 找到 了 这 个 文本 ， 
个 类 是 starcrash 类 中 的 闭 包 。 


. line 269 
:pswitch 5 


^ 


(х 


sget-object v4, Lcom/easefun/starcrash/starcrash;->context:Landr 


oid/content/Context; 


const-string v5, "Nu8d2dNu4e70Nu5931Nu8d25" 4 购买 失败 


invoke-static (v4, v5, v6), Landroid/widget/Toast; »makeText(Lan 
droid/content/Context;Ljava/lang/CharSequence; I)Landroid/widget/ 


Toast; 
move-result-object v4 
invoke-virtual (v4), Landroid/widget/Toast; -»show()V 


.line 270 


invoke-static 4}, Lcom/easefun/starcrash/starcrash; -»dismissProg 


ressDialog()V 


.line 271 
invoke-static (v6), Lcom/easefun/iap/StarJNI; - -»sendMessage(I)V 


goto :goto O # return-void 


可 以 看 出 这 是 switch 结构 的 一 个 分 支 ， 我 们 到 跳 转 表 处 看 看 : 


.line 236 
iget v4, pi, Landroid/os/Message;-»what:I 


packed-switch v4, :pswitch data 0 
us ur 


.line 236 

:pswitch data 0 

.packed-switch 0x0 
:pswitch 0 
:pswitch 1 
:pswitch 2 
:pswitch 3 
:pswitch 4 
:pswitch 5 # 购买 失败 
:pswitch 6 
:pswitch 7 
:pswitch 8 
:pswitch 9 

.end packed-switch 


这 个 代码 是 安 草 的 跨 线 程 消息 传递 机 制 ， 不 懂 可 以 直接 搜索 Handler ° Ж 
个 switch ЖЖ f Message 的 what 参数 ， 该 参数 用 于 区 分 消息 的 不 同 种 类 。 问 
AKT’ what 值 的 含义 是 开发 者 自己 定制 的 ， 而 且 外 部 类 里 面 也 没有 相关 常量 。 


如 果 不 想 分 析 代 码 ， 可 以 把 该 值 改 成 0~9， 每 个 都 试 一 遍 。 但 是 总 归 有 不 这 么 麻烦 
的 办 法 ， 那 就 是 分 析 代 码 。 有 两 种 方式 ， 第 一 种 是 从 这 几 个 分 支 里 面 找到 成 功 分 
支 ， 第 二 种 是 从 外 部 类 的 线程 入 口 函 数 中 找到 成 功 的 代码 。 我 这 里 选 前 者 。 


我 们 简单 遍历 一 下 各 分 支 的 字符 串 吧 (具体 代码 省 略 ) ° 


分 支 编号 消息 行 号 
2 请 确认 SIM 卡 已 插入 124 
3 支付 需要 网 络 连 接 144 
4 购买 成 功 164 
5 购买 失败 184 
6 购买 取消 204 
8 支付 中 ， 等 待 支付 结果 255 
9 已 成 功 领取 今日 特权 礼包 中 的 十 个 钻石 269 


只 有 这 几 个 分 支 是 有 消息 6] ° 而 且 观 察 得 出 ， 这 个 handler 不 仅仅 处 理 购买 成 功 
和 失败 消 息 ， 还 处 理 了 其 它 无 关 的 消息 。 这 种 情况 下 就 不 能 强行 都 改 成 第 5 个 分 
支 。 我 们 可 以 考虑 把 第 2、3、5、6 都 改 成 第 四 个 分 支 。 


.packed-switch 0x0 
:pswitch 0 
:pswitch 1 
:pswitch 4 
:pswitch 4 
:pswitch 4 
:pswitch 4 
:pswitch 4 
:pswitch 7 
:pswitch 8 
:pswitch 9 

.end packed-switch 


dk Ж 
о N 


dk Ж 
о л 


重新 编译 并 打包 后 ， 我 们 试 一 试 : 


el 1-409] де | 
daa L14449 

Ju аш]. 

“OO JSM) 


"бев В 
Јаја 15 T 
2 [4 144 Җа 
а 14] аа ы 
Jaaa 1 


alal A Leed o 
A fe ei 





它 这 个 付费 是 通过 短信 实现 的 ， 它 会 直接 发 送 短信 ， 无 法 自己 输入 手机 号 。 所 以 ， 
如 果 你 插 着 电话 卡 玩 还 是 会 扣 费 的 ， 这 一 点 可 以 通过 移 
除 AndroidManifest.xml 中 的 SEND SMS 权限 来 解决 。 


4.6 去 广告 


Ж: RE 
软件 在 这 里 下 载 ` http://www.yxdown.com/shouji/376800.html 
我 们 要 去 掉 的 是 主 界面 上 的 广告 : 





把 它 拖 进 Android Killer， 这 个 项 目的 包 是 com.cnnzzse.kxxye ， 通 过 查询 配置 文 
件 可 得 知 ， 主 界面 是 hellot ° 


4.6 去 广告 


э 名 称 : 开心 消 鱼 儿 
/ Sp 
AL : com.cnnzzse.kxxye.hellot 
版 本 信息 : Ver : 1.33(34) SDK 4 TargetSDK : 8 


5 Activity 


A com.cnnzzse.kxxye.hellot 


A com.baidu.appx.ui.BDInnerBrowser 
A com.baidu.autoupdatesdk.ConfirmDi 
Receiver 
© Service 
5 com.umeng.update.net.Downloading 
^ Uses-Permission 


android.permission.|INTERNET 
android.permission.READ PHONE S 
android.permission.ACCESS NETWO 
android.permission.ACCESS COARSE 
android.permission. WRITE ЕХТЕКМА 
android.permission.ACCESS WIFI ST. 





我 们 在 这 个 类 中 搜索 ad 


Dress Üresss press —— 
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.field private adView:Lcom/baidu/mobads/AdView; 
Hoe 

.field private interAd:Lcom/baidu/mobads/InterstitialAd; 
.field private isInitAd:Z 

В 

.field private ѕһомАа: 2 

A 

.method public showAdView()V 

В 

.method public showInterView()V 

ВЕ: 


可 以 看 到 一 共有 两 个 广告 adview 和 interad ， 我 们 再 来 
看 showAdView 和 showInterView 的 方法 : 


# showAdView 
.line 283 
iget-boolean v1, рө, Lcom/cnnzzse/kxxye/hellot; ->5һомАЯ:2 


if-nez v1, :cond 1 


.line 300 
:cond O0 
:goto 0 
return-void 


# showInterView 

.line 302 

iget-boolean м0, ро, Lcom/cnnzzse/kxxye/hellot; ->5һомАЯ:2 
if-nez м0, : сопа 0 

.line 346 


:goto 0 
return-void 


它们 都 通过 showAd 这 个 字段 来 判断 是 否 要 显示 广告 。 


我 们 可 以 想 办 法 把 这 个 字段 给 赋 成 false 。 搜 
Ж Lcom/cnnzzse/kxxye/hellot; -»showAd:Z 






iput-boolean v1, p0, Lcom/cnnzzse/kxxye/hellot;- > showAd:Z 
iput-boolean рї, p0, Lcom/ennzzse/kxxye/hellot;- > showAd:Z 
iget-boolean v0, p0, Lcom/cnnzzse/kxxye/hellot;- > showAd:Z 
iget-boolean v1, p0, Lcom/cnnzzse/kxxye/hellot;- > showAd:Z 
iget-boolean v0, p0, Lcom/cnnzzse/kxxye/hellot;- > showAd:Z 
iget-boolean v0, p0, Lcom/cnnzzse/kxxye/hellot;- > showAd:Z 





г Y 


发 现 对 其 写 入 的 一 共 两 处 。 第 一 处 是 构造 器 <init> 中 。 


.prologue 
const/4 v1, 0х1 


ШЕ ус 


‚11пе 74 
const/4 v0, 0x0 


Ве 

. line 75 

iput-boolean v1, рө, Lcom/cnnzzse/kxxye/hellot;->showAd:Z 
这 里 我 们 把 vi A vo ° 


第 二 处 是 静态 方法 access$0 ， 这 个 方法 专门 用 于 设置 showAd 


.method static synthetic access$0(Lcom/cnnzzse/kxxye/hellot;Z)V 
.locals 0 
.prologue 
.line 75 
iput-boolean p1, pO, Lcom/cnnzzse/kxxye/hellot; ->5һомАа: 2 


return-void 
.end method 


我 们 加 上 一 名 const/4 pi, 0x0 ° 
完事 。 
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4.7 修改 游戏 金币 


4.7 修改 游戏 金币 


作者 : 飞龙 
软件 下 载 : http://www.xuepojie.com/thread-24343-1-1.html 
进入 游戏 之 后 会 有 个 “每 日 登录 奖励 " 弹 窗 : 


每 日 登陆 奖励 
连续 登陆 游戏 获得 每 日 登陆 奖 矶 





点 击 之 后 会 看 到 “您 获得 100 金币 ”: 
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4.7 修改 游戏 金币 





我 们 看 一 下 金币 数量 ， 100, 150, 200, 300 。 好 了 ， 将 软件 拖 进 Android 
Killer : 





Cw) 名称 : 果园 连连 看 
“Ë ъ= : com.ytt.game.FruitLink 
Ce 95 ¿cnc .billing.api.GameOp... 
版 本 信息 : Ver : 1.0(1) SDK : 0 TargetSDK : 19 
Activity 
A cn.cmgame.billing.api.GameOpen 
A com.linkstudio.FruitLink.FruitLinkG 
A com.h.a.z.u.more.MoreGameWeb 
A cnjpush.android.ui.PushActivity 
Receiver 
R cnjpush.android.service.PushRece 
R cnjpush.android.service.AlarmRec 
R com.game jpush.MyReceiver 
Service 
5. com.h.a.z.u.ss.a 
Š cnjpush.android.service.Downloa 
$. cnjpush.android.service.PushServi 
日 Uses-Permission 





m" 


D 


(i) 








我 们 搜索 “您 获得 "， 定 位 到 了 bu.smali 
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new-instance v0, Ljava/lang/StringBuilder; 


const-string v1, "Nu60a8Nu83b7Nu5f97 " # 您 获得 


invoke-direct {v0, vij, Ljava/lang/StringBuilder;-><init>(Ljava/ 


lang/String;)V 
iget-object vi, ро, Lcom/linkstudio/FruitLink/a/bu;-»ai:[I 


aget v1, v1, pi 


invoke-virtual {v0, v1), Ljava/lang/StringBuilder; ->аррепа(І) І ја 


va/lang/StringBuilder; 
move-result-object vO 


const-string vi, " Nu91d1Nu5e01" # 金币 


invoke-virtual (v0, м1}, Ljava/lang/StringBuilder; -append(Ljava 


/lang/String;)Ljava/lang/StringBuilder; 
move-result-object vO 
我 们 发 现 它 是 从 ai 数组 获得 数据 。 我 们 在 当前 文件 中 搜 
* Lcom/linkstudio/FruitLink/a/bu;-»ai ， 发 现 只 有 一 处 对 其 赋值 : 
new-array м0, м1, [I 
fill-array-data v0, :array 0 


iput-object v0, ро, Lcom/linkstudio/FruitLink/a/bu;-»ai:[I 


Had 

:array O 

.array-data 4 
0x64 # 100 
0x96 # 150 
Oxc8 # 200 
Ox12c # 250 


.end array-data 


因为 这 个 数组 是 int[] ， 我 们 尝试 都 改 成 Ox7fffffff ( int 的 最 大 值 ) 
后 保存 ， 重 新 打包 ， 运 行 : 


4.7 修改 游戏 金币 





另外 这 个 游戏 中 还 是 有 内 购 ， 有 具体 破 解 方法 不 再 丈 术 了， 请 参见 “糖果 星星 达 人 "一 


a 
° 
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4.8 去 广告 有 


ЕЖ: 62, 
软件 下 载 : http://www.xuepojie.com/thread-24545-1-1.html 
事先 声明 ， 这 个 软件 没有 功能 ， 是 个 党 子 ， 我 们 主要 研究 如 何 去 广 告 。 
软件 的 主 界 面 是 这 样 的 ， 可 以 看 到 最 下 方 的 "有 米 ”: 


4.8 去 广告 | 


破解 状态 : 已 破解 
激活 状态 : 未 激活 


官方 QQ 群 ` 468789580 


99999999999 


Калоо 


" | 


NL am 
En ЗУРА Jp 


中 间 是 一 些 按 钮 ， 点 击 每 个 按钮 都 会 出 现 广 告 : 
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请 先 完成 分 享 0Q 群 任务 





拖 入 AK ° 2, e4a 编写 的 。 


4.8 去 广告 


Like š . . 
版 本 信息 : Ver : 1.0(1) SDK : 8 TargetSDK : N/A 


A com.e4a.runtime.components.im 
© Receiver 
R netyoumi.android.AdReceiver 
(R) net.youmi.android.offers.OffersR 
4 Service 
5 netyoumi.android.AdService 
5 netyoumi.android.ExpService 
^ Uses-Permission 
Р. com.android.launcher.permission. 
E android.permission.GET TASKS 
Р. android.permission. WRITE EXTE 
P. android.permission.ACCESS WIFI 








会 а | 123321 | 












































e 12 StartActivity.smali D mainActivity. -— | ) EBD. smali | 
Bebe Brem — EFT ET TFET š m 
@|m|= m|g |> 中 | 六 | 加 [тт -J - 
ы REEE єз ^ 
由 ü assets є4 .field public B8Íf*2:Lcom/e4a/runtime/components/impl/android/n12/B]ff; FI 
à ü mmy 65 .annotation runtime Lcom/e4a/runtime/annotations/SimpleDataElement; SÉ 
i 29 єє .end annotation 
昌国 res €7 .end field 
a ü smali €8 
i B com €s .field public EES : Lcon/esa/runtime/components/impl/android/n43/7H?K] E 
E ü azaad 70 .annotation runtime Lcom/e4a/runtime/annotations/SimpleDataElement; 
qq 71 .end annotation 
~ Réattr.smali 72 .end field 
[|] R$drawable.smali 73 _ 
` `" R$style.smali 74 .field public 标签 1:Lcom/e4a/runtime/components/impl/android/n3/ 标 签 ; 
E 75 .annotation runtime Lcom/e4a/runtime/annotations/SimpleDataElement; 
"e  .end annotation 26 
< pese > 
行 :69  Bk19 插入 {J 











Jp aii rcemÑ p h%s=;1|'tÁ +, 
— 2139 139 аж 
E smali\com\azqqd\ 主 窗口 .smali 











| - | AndroidManifestxml 
[af apktool.yml 











~ field public 有 米 广告 1;Lcom/e4a/runtime/components/impl/android/n43/ 有 举 广告 ; 
| new-instance v0, Lcom/e4a/runtime/components/impl/android/n43/ 有 米 广告 Impl; 

~ invoke-direct {v0, v1), Lcom/e4a/runtime/components/impl/android/n43/ 有 米 广 告 Impl;-> «init» ((сот/е4а/ 

| check-cast v0, Lcom/e4a/runtime/components/impl/android/n43/ 有 米 广告 ; 

| ^ iput-object v0, p0, Lcom/azqqd/ 主 窗口 ;-> 有 米 广告 1:Lcom/e4a/runtime/components/impl/android/n43/ 有 
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按照 e4a ，“ 主 窗口 "应 该 就 是 主 界面 ， StartActicity 只 是 个 包装 。e4a 的 界面 
都 是 动态 创建 的 ， 在 $define 方法 中 。 


我 们 观察 主 窗口 $ 创 建 完毕 方法 : 


method public 主 窗口 $ 创 建 完 毕 ()V 
.locals 6 


.prologue 
const/4 v3, 0x1 


.line 12 

iget-object v0, ро, Lcom/azqqd/ i. v;-»4 Xr 1:1 сот/еда/гип 
time/components/impl/android/n43/4 Kr >; 

const-string м1, "80b3665dbe24da6c" 

const-string v2, "b1ec288d42c62f47" 

move v4, v3 

move v5, v3 

invoke-interface/range {v0 .. v5), Lcom/e4a/runtime/componen 
ts/impl/android/n43/ 有 米 广告 ; -> 初始 化 广告 (Ljava/lang/String;Ljava/l 
ang/String;ZZZ)V 

.line 13 

iget-object v0, ро, Lcom/azqqd/ + #0; ->A Xr 1:1 сот/еда/гип 
time/components/impl/android/n43/4 ЖР >; 


invoke-interface (v0), Lcom/e4a/runtime/components/impl/andr 
0id/n43/ 有 米 广 告 ; -> 显示 插播 广告 ( )V 


.line 14 

iget-object v0，p0，Lcom/azqqd/ 主 窗口 ;-> 有 米 广告 1;:Lcom/e4a/run 
time/components/impl/android/n43/ 有 米 广告 ， 

const-string м1, "Nu4f17Nu8d5e-Nu4feeNu6b63Nu7248" 


invoke-interface (v0, v1}, Lcom/e4a/runtime/components/impl/ 
android/n43/ 有 米 广告 ; -> 设置 积分 墙 标 题 (Ljava/lang/String;)V 


, Line 15 
iget-object v0, p0, Lcom/azqqd/ 5 #0; ->A Xr 1:1 сот/еда/гип 
time/components/impl/android/n43/4 ЖГ +; 


invoke-interface (v0), Lcom/e4a/runtime/components/impl/andr 
oOid/n43/ 有 米 广告 ; -> 显示 插播 广告 ( )V 


return-void 
.end method 


直接 在 这 个 方法 的 开头 插入 return-void ， 就 没 了 。 


之 后 是 按钮 的 广告 ， 由 于 按钮 太 多 ， 一 共有 八 个 ， 我 这 里 仅仅 演示 左上 角 的 按钮 
(139 那个 ) 。 


在 当前 文件 中 搜索 139 


iget-object v0, pO, Lcom/azqqd/ 5 # 0; - >41 :1 сот/е4а/гипііте/сот 
ponents/impl/android/n1/3z4; 


const-string м1, "139Nu79efNu5206500'Nu8d5e" 


invoke-interface (v0, v1}, Lcom/e4a/runtime/components/impl/andr 
oid/n1/4z42; ->44 38 (Ljava/lang/String;)V 


得 知 它 就 是 按钮 1。 


然后 找到 按钮 1$ 被 单 击 方法 : 


.method public 按钮 1$ 被 单 击 ( )V 
.locals 1 


.prologue 

.line 26 

const-string м0, "Nu8bf7Nu5148Nu5b8cNu6210Nu5206Nu4eabQQNu7f 
a4Nu4AefbNu52a1" 


invoke-static {v0}，Lcom/e4a/runtime/ 应 用 操作 ; -> 弹出 提示 (Ljava/ 
lang/String;)V 


.line 27 
iget-object v0, рө, Lcom/azqqd/ + @wu;-># Xr 1:1 сот/еда/гип 
time/components/impl/android/n43/4 ЖГ +; 


invoke-interface (v0), Lcom/e4a/runtime/components/impl/andr 
0id/n43/ 有 米 广 告 ; -> 显示 插播 广告 ( )V 


return-void 
,end method 


可 以 看 到 它 没 有 任何 实际 功能 ， 直 接 在 开头 插入 return-void 。 我 们 之 后 只 需要 
堆 其 余 7 个 按钮 执行 相同 操作 就 好 了 。 


4.9 5X f P W II 


作者 : 飞龙 
这 次 要 破解 的 游戏 是 这 个 : http://dl.pconline.com.cn/download/544623.html 
打开 游戏 后 ， 主 界面 有 个 VIP， 我 们 要 破解 的 就 是 这 个 东西 : 


— MT Y 
- V LA U Und — 
P: А "m4 V 


专属 宝箱 
道具 每 日 领取 开局 


BET. 


> ~ 
PN 
| y BOSSHK 战 专属 


P = 7 +2 E iPhonc6s 


Get? 
Le тт 327 加 成 


[% bg 
bm 


BI Езера Ча 


a - TE: te 





我 们 切换 到 “好 友 代 付 "， 点 击 “ 购 买 *， 然 后 是 “确认 支付 ”: 


购买 失败 


KT UJ UIN "e 
- d 
Ae A 


专属 宝箱 


超 丰 富 道 具 每 日 领取 АЛЕ, 


D 
© 


BOSSHE hu # 属 


L 
L d Za aani Phones KIK ~ 
A uu. 


Чаа w. d е wu 
№, 


"E coro E datz 


SECH 


AVI P B rrr. та 


购买 道具 ; [008] AR ! iV E 


TT mmm _ 





提示 "购买 道具 XXX 失败 ”。 好 ， 我 们 载 入 АК: 


u 工程 信息 | 回 工程 管理 器 Dress 


HE #5: Së 57806820) 
Nis. SS: com.sg.hlxd 


: cn.cmgame.billing.api.GameOp... 









版 本 信息 : Ver : 1.0.0(100) SDK : 8 TargetSDK... 


A com.sg.hlw.MainActivity 
H. Kë : 
3 Receiver 

R com.sg.hlw.notification.AutoBootB| 
- Service | 

5. com.sg.hlw.notification.BgService | 
- Uses-Permission 

Р) android.permission.RECEIVE ВОО) 
апагоіа.регтіѕѕіоп.М/КІТЕ EXTERI 
android.permission.INTERNET | 
android.permission. WRITE EXTERI 
android.permission.ACCESS WIFI | = 
android.permission.ACCESS NETVI 
android.permission.READ PHONE| 
P andrnid nermi<<inn INTERNET 


我 们 搜索 “失败 "的 Unicode ° £ SDKMessage$1 中 找到 了 失败 的 文本 。 


о ro ro ro ro Ca 


.line 203 
:pswitch 1 
new-instance vi, Ljava/lang/StringBuilder; 


# 购买 道具 : [ 
const-string v2, "Nu8d2dNu4e70Nu9053Nu5177Nuffla[" 


invoke-direct {v1, v2}, Ljava/lang/StringBuilder;-><init>(Ljava/ 
lang/String;)V 


invoke-virtual (vi, p2), Ljava/lang/StringBuilder; -»append(Ljava 
/lang/String;)Ljava/lang/StringBuilder; 


move-result-object vi 


&] XX! 
const-string v2, "] \u5931\u8d25\uff01" 


invoke-virtual (vi, v2), Ljava/lang/StringBuilder; -»append(Ljava 
/lang/String;)Ljava/lang/StringBuilder; 


move-result-object vi 


invoke-virtual {v1}, Ljava/lang/StringBuilder;-»toString()Ljava/ 
lang/String; 


move-result-object vO 


这 是 switch 是 一 个 分 支 ， 我 们 直接 往 上 找 : 


.line 197 
.local v0, "result":Ljava/lang/String; 
packed-switch p1, :pswitch data 0 


Hoa 


.line 197 

:pswitch data 0 

.packed-switch 0х1 
:pswitch. 0 
:pswitch 1 

.end packed-switch 


按照 惯例 ， 我 们 把 跳 转 表 都 改 成 :pswitch_ 9 ， 编 译 ， 打 包 ， 安 装 。 然 后 随便 购 
买 一 个 东西 。 虽 然 SDK 的 对 话 框 提示 失败 ， 这 个 我 们 改 不 了 ， 但 是 游戏 
的 Toast 提示 成 功 。 


4.9 玻 解 内 购 || 


: [012] 成 功 ! 
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4.10 玄 奥 八字 


作者 : 飞龙 


声明 : 本 人 极度 厌恶 玄学 ， 选 取 此 软件 是 为 了 研究 逆向 技术 ， 并 不 代表 本 人 和 贰 


这 次 要 破解 的 软件 是 这 个 ` http://www.xazhouyi.com/android/soft/bazi.html 


首先 分 析 其 行为 ， 打 开 软 件 : 


126 


EA-VIC PL 





探索 人 生命 运 弘扬 易学 文化 


注意 事项 

1 : 软件 未 注册 只 能 使 用 1999 年 的 ， 注 
册 后 可 使 用 所 有 功能 。 

Ge A лш Шш 
3 ; 注册 时 需 提 供 软件 系列 号 ， 软 件 系 
列 号 -点 击 菜单 “帮助 -> 注册 "可 看 到 。 


女 玄 奥 周 易 软 件 www.xazhouyi.com 
咨询 电话 :0598-7239932 


按照 以 往 的 经 验 ， 程 序 有 个 字段 用 于 维护 注册 状态 ， 我 们 可 以 通过 字 
到 它 。 我 们 将 其 载 入 AK : 





4.10 EAF 


О теве 轩 工 程 管 理 器 辆 工程 搜索 


| 名 称 : 辫 奥 八字 
| & : My.XuanAo.BaZiYi 
ALI : mam 


版 本 信息 Мег: 7.2.01(7201) SDK : 7 TargetSD... 





.PingYu 
.DataRecordDlg 
.SearchDlg 
.SetYongDlg 
.FanTuiDlg 
.SoftHelpDlg 
.SoftRegDlg 
.MingDecDlg 
.YunQiDlg 
.RiYunDlg 
|nputPassDlg 
.BaZiTuDlg 
.SelExportDlg 三 
iver 


和 人 区 








搜索 “软件 未 注册 ”， 在 string.xml 中 找到 : 


<string name="Id_StartInfo">" 注 意 事项 

1: 软件 未 注册 只 能 使 用 1999 年 的 ， 注 册 后 可 使 用 所 有 功能 。 

2 : 注册 方法 请 看 软件 菜单 “帮助 -> 软件 帮助 ”。 

3: 注册 时 需 提供 软件 系列 号 ， 软 件 系列 号 - -点 击 菜单 “帮助 -> 注册 ”可 看 到 。 


</string> 


然后 在 public.xml 中 找到 ， 字 符 串 的 ID 是 0x7f060003 。 之 后 搜索 这 个 


我 们 在 main ， 也 就 是 入 口 的 MyInit Ф] УЗ 4X4 : 


数字 。 
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:cond b 

# 玄 奥 八字 7.2 未 注册 ! 

const-string v7, "Nu7384Nu5965Nu516bNu5b577.2Nu672aNu6ce8Nu518cN 
uff01" 


invoke-virtual {p0, v7), LMy/XuanAo/BaZiYi/main;->setTitle(Ljava 
/lang/CharSequence; )V 


.line 199 

invoke-virtual {ро}, LMy/XuanAo/BaZiYi/main;->getResources()Land 
roid/content/res/Resources; 

move-result-object v7 


const v8, 0x7f060003 


invoke-virtual (v7, v8), Landroid/content/res/Resources; -»getStr 
ing(I)Ljava/lang/String; 


# 刚才 的 字符 串 
move-result-object v7 


invoke-static (pO, v7, v10}, Landroid/widget/Toast; -»makeText(La 
ndroid/content/Context;Ljava/lang/CharSequence; I)Landroid/widget 
/Toast; 

move-result-object v7 


invoke-virtual (v7), Landroid/widget/Toast;-»show()V 


goto :goto 4 £ return-void 


我 们 猜想 :cond b 是 失败 分 支 ， 我 们 往 上 找 : 


sget-object v7, LMy/XuanAo/BaZiYi/main;->m_chkSoft:LMy/XuanAo/Ba 
ZiYi/CSoftReg; 


invoke-virtual (v7), LMy/XuanAo/BaZiYi/CSoftReg; -»ChkNumA( )Z 
move-result v7 
if-egz v7, :cond b 


sget-object v7, LMy/XuanAo/BaZiYi/main;-»m chkSoft:LMy/XuanAo/Ba 
ZiYi/CSoftReg; 


invoke-virtual (v7), LMy/XuanAo/BaZiYi/CSoftReg; -»ChkNumB( ) 2 
move-result v7 
if-egz v7, :cond b 


sget-object v7, LMy/XuanAo/BaZiYi/main;-»m chkSoft:LMy/XuanAo/Ba 
ZiYi/CSoftReg; 


invoke-virtual (v7), LMy/XuanAo/BaZiYi/CSoftReg; -»ChkNumC( )Z 
move-result v7 

if-eqz v7, :cond b # 关键 跳 

# 成 功 分 支 


, Line 195 
const-string v7, "Nu7384Nu5965Nu516bNu5b577.2" 


invoke-virtual (pO, v7), LMy/XuanAo/BaZiYi/main;->setTitle(Ljava 
/lang/CharSequence; )V 


.line 196 
# const/4 v10, 0x1 
sput-boolean v10, LMy/XuanAo/BaZiYi/main;-»m regFlag:Z 


我 们 可 以 得 出 ChkNumA/B/C 是 三 个 关键 和 判断。 下面 的 if-egz 是 关键 跳 。 成 功 各 
分 支 将 m regFlag 设 为 1， 说 明 它 是 保存 注册 状态 的 字段 。 


我 们 可 以 将 这 三 个 if-egz 都 给 注释 掉 ， 但 是 我 们 可 以 采取 另 一 种 方式 ， 在 最 后 一 
^ if 的 下 面 添加 :goto 100 标签 ， 然 后 在 第 一 个 if 上 面 添 
加 goto :goto 100 。 


4.10 л 


.line 193 

:cond 1 

goto :goto 100 

sget-object v7, LMy/XuanAo/BaZiYi/main;-»m chkSoft:LMy/XuanAo/Ba 


ZiYi/CSoftReg; 
We Ue 


if-eqz v7, :cond b 
:goto 100 


重新 打包 、 安 装 软件 后 ， 打 开 软 件 ， 我 们 发 现 不 再 弹出 注册 提示 了 。 访 问 菜单 -> 更 
多 -> 注册 之 后 ， 在 注册 界面 中 我 们 可 以 看 到 “已 注册 ”。 





注册 号 已 注册 





注册 ” 返回 
| 
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4.11 优酷 APK 去 广告 


软件 下 载 ` http://app.cnmo.com/android/235159/ 
这 次 要 破解 优酷 的 APK， 去 掉 播 放 视 频 开 头 的 广告 : 





CET 仙剑 云 之 凡 


我 们 先 抓 包 ， 看 到 了 api.mobile.youku.com ， 这 个 就 是 广告 所 在 的 域名 。 


Z 


Э 129 200 НТТР a.play. 21.20. ou Com — /commonjv3/play? t =14674245S165e=md., 15,809 max-ag a 












2 130 200 НТТР api. moble. youku.com Лзуоцјагктокб 0jplsyidet al?pid7615b... 1,926 тах-әд. 
7131 200 HTTP count.atm.youku.com тоосуз 28spe Oeste 1656-1805 15avs.. O pewate t 
i» 132 200 HTTP ad.api.3g.youku.com jady? t =14167424517be=md5a _ 59 5,590 max-e 
1133 200 HTTF api.mobde.youku.com — /shows/21073c9078a111e5b692/' 109  max-ag а 
5134 200 HTTP spi.moble.youku.com — [/adv/banner?sites 1614332182858; 475 mar-o 





我 们 载 入 АК: 


4.11 优酷 APK 去 广告 





名 称 : (CS 
yu Е : com.youku.phone 


版 本 信息 : Мег: 5.3.2(89) SDK : 14 TargetSDK... 


© Uses-Permission 
android.permission.ACCESS N 
android.permission.ACCESS WIFI 
android.permission.|INTERNET 
android.permission. READ PHONE 
android.permission.RECEIVE _ 
android.permission.VIBRATE 
android.permission. CAMERA 
android.permission. WRITE EXTER 
android.permission. WAKE LOCK 
com.android.launcher.permission. 
com.android.launcher.permission. 
android.permission.GET TASKS 
com.android.launcher.permission. 












fv f» fe Fo Fo Fs fs fs fv fv Fo fo FS 


将 所 有 api.mobile.youku.com 都 换 成 127.0.0.1 即 可 : 














搜索 字符 : 
| api.mobile.youku.com È 
A we - 
Saz: 
127.0.0.1 Ë 





然后 ， 在 回 编译 的 时 候 ， 会 有 如 下 问题 。 


>р: \Wizard 破 解 工具 包 \Tool\Android\AndroidkKiller_v1.3.1\projects\Yo 
ukuNProjectNresNvalues-v23Nstyles.xml:6: error: Error retrieving 
parent for item: No resource found that matches the given name 
'Gandroid:style/WindowTitleBackground'. 

»D:NWizard #2 А. ё NToolNAndroidNAndroidKiller v1.3.1NprojectsNYo 
ukuNProjectNresNvalues-v23Nstyles.xml:6: error: Error retrieving 
parent for item: No resource found that matches the given name 

'Gandroid:style/WindowTitleBackground'. 


我 们 找到 res/value-v23/styles.xml › 4& resources 下 的 东西 注释 掉 : 


<?xml version="1.@" encoding="utf-8"?> 
<resources> 
< Ia 


SE 
</resources> 


在 找到 res/value/public.xml › MAA Base.V23 的 东西 (两 个 ) 注释 掉 : 


< 

«public type="style" name="Base.V23.Theme.AppCompat" id="0x7f0d0 
0a6" /> 

«public type="style" name="Base.V23.Theme.AppCompat.Light" id="0 
x7f0d00a7" /> 

--> 


即 可 成 功 编译 : 


当前 Apktool 使 用 版 本 : Android Killer Default APKTOOL 
正在 编译 АРК › Ж... 

>І: 使 用 ShakaApktool 2.0.0-20150914 

>I: 编译 smali 到 classes.dex... 

>I: 编译 smali _ classes2 到 classes2.dex... 

>І: 正在 编译 资源 .，， 

>I: 正在 拷贝 1Iibs 目 录 ,,，(/1Lib) 

>I: 正在 编译 apk 文 件 . . . 

>I: 复制 未 知 文件 /目录 ... 

APK 编译 完成 ! 

正在 对 АРК 进行 签名 ， 请 稍 等 ,. ， 

APK 签名 完成 ! 

АРК 所 有 编译 工作 全 部 完成 111 

生成 路 径 : 

file:D:NWizardzk #2 А. &NToolNAndroidNAndroidKiller v1.3.1*Nproject 
sNYoukuNBinNYouku killer.apk 


4.11 优酷 APK 去 广告 
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4.12 MagSearch 1.8 爆破 


4.12 MagSearch 1.8 爆破 


作者 : 飞龙 
软件 下 载 : http://www.xuepojie.com/thread-26549-1-1.html 
打开 之 后 是 登录 界面 ， 随 便 输 入 用 户 名 和 密码 ， 显 示 登 录 失 败 。 


=й =й? 





将 其 载 入 AK， 搜 索 “ 登 录 失 败 ”， 没 有 反应 。 搜 索 它 的 Unicode 编 
码 Nu767bNu5f55Nu5931Nu8d25 
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主页 工具 Android e 
Z Ф җ @ 
打开 e 配置 XF 
文件 视图 选项 | 帮助 
@ Fi | 一 MagV1.8 
Ф |) 主 窗口 .smali 
а а | 一 "т 
Orere Drssss Rees — "oni X г | ,у|да®|Е |4 = ә Ф 
搜索 字符 : [S D E&D.smali - || Q public QV ` 
\u767b\u5f55\u5931\u8d25 976 ^ 
977 .line 46 
$78 const-string v0, "/app.php?username-" 
979 
A 搜索 - s80 sput-object v0, Lcom/warm/ 公 用 模块 ;-> 登 录 10:Ljava/lang/String; 
981 
ae. 982 .line 47 
вате: 983 const-string v0, "&зсасе=ехр1ге" 
584 
B 985 sput-object v0, Lcom/warm/ 公用 模块 ;-> 登 录 11:Ljava/1lang/String; 
s8€ 
987 .line 48 
esma |) ses const-string vo, "IEEE 
1 s39 v 
== < > 
— 6:988 a 插入 
搜索 范围 : = 
— 一 — em x - - 
en ә \u767b\u5f55\u5931\u8d25 
文件 类 型 : 3- smali\comNwarmA\ 主 窗口 smali 
所 有 文件 
FFRES: 
UTF8 
TEANS 
搜索 进度 v| Dez | 搜索 结果 | 方法 引用 
| 








在 主 窗口 的 时 钟 1$ 周 期 事件 中 ， 出 现 了 


Line 48 


const-string v0, "Nu767bNu5f55Nu5931Nu8d25" 4 登录 失败 


sput-object v0，Lcom/warm/ 公 用 模块 ;-> 登 录 12:Ljava/lang/String; 


我 们 搜索 Lcom/warm/ 公 用 模块 ; -> 登录 12:Ljava/lang/String; 
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主页 工具 Android 

















e 
Z Фф Xo 
打开 e 配置 关于 
文件 视图 选项 帮助 
$i Fi | 一 MagV1.8 
Ф | °) 主 窗 口 .smali || `) 登录 .smali 
自 а = | 一 а= 
Отеле Dresses Rees — "euni. г| л w|@e ə|=| = š Фф 
搜索 字符 : | | D Së ema M 
Lcom/warm/ 公 用 模块 ;-> 登 录 3293 ^ 
12:Ljava/lang/String; invoke-static (v2), Lcom/e4a/runtime/variants/ByteVariant;-»getByteVarian 
move-result-object v2 
Á 搜索 ~ 
invoke-virtual (vl, v2), Lcom/e4a/runtime/variants/Variant;->cmp(Lcom/e4a 
EEG move-result vl 
if-gez vi, :cond 1 
E 
.line 153 
E z sget-object vi, 
ч v 
= > 
"uM: 行 :3305 Ste SA 
搜索 范围 : i = 1 = i == == — o 
=m m - 
MINEURS 2 \u767b\u5f55\u5931\u8d25 |; Lcom/warm/Z P8834...  8:12:Ljava/la... 
文件 类 型 : -smali\com\warm\ 主 窗口 .smali 
所 有 文件 sput-object v0, Lcom/warm/ 公 用 模块 ;-> 登 录 12:Ljava/lang/String; 
3- smali\com\warm\ 公 用 模块 .smali 
п: sput-object v0, Lcom/warm/ 公 用 模块 ;-> 登 录 12:Ljava/lang/String; 
UTF8 3- smali\com\warm\ 登 录 .smali 
TRADS 
ESHE el Ваен | 搜索 结果 | 方法 引用 
| 








根据 结果 ， 登 录 窗 口中 ( 登录 ,smali ) 使 用 了 该 字段 。 


if-gez v1, :cond 1 


.line 153 
sget-object v1, Lcom/warm/Z- | 3X ; -» 4 3&12:Ljava/lang/String; 


invoke-static {v1}, Lcom/e4a/runtime/ZJ]i&1ft; -> 弹出 提示 (Ljava/lang 
/String;)V 


:cond 1 


return-void 


我 们 找到 调用 该 字段 的 地 方 ， 这 个 应 该 是 失败 分 支 ， 需 要 向 上 找到 关键 判断 。 
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Line 152 
:cond 0 

# 失败 分 支 
T ee 


if-eqz v1, :сопа 0 


# 成 功 分 支 
B lll 


我 们 向 上 找到 :cond 0 ， 如 果 不 跳 到 这 里 ， 就 能 走 成 功 各 分 支 。 我 们 接着 寻找 谁 
使 用 了 :cond 9 ， 然 后 找到 了 关键 判断 。 
我 们 如 果 想 要 爆破 ， 一 个 思路 就 是 把 这 个 关键 判断 注释 掉 。 但 是 这 样 还 是 要 经 过 这 
个 登录 窗口 ， 不 够 美观 。 我 们 现在 换 一 个 思路 ， 如 果 登 录 窗 口 不 是 主 窗口 ， 那 么 我 
们 只 需要 找到 主 窗口 启动 登录 窗口 的 地 方 ， 把 它 改 成 登录 后 的 那个 窗口 ， 就 行 了 。 
我 们 在 成 功 分 支 中 找到 : 

, Line 149 

# 热门 资源 

sget-object v1i，Lcom/warm/ 公 用 模块 ;-> 登 录 9:Ljava/lang/String，; 


invoke-static {v1}，Lcom/e4a/runtime/ 应 用 操作 ; -> 读 取 窗口 (Ljava/lang 
/String; )Lcom/e4a/runtime/components/impl/android/ # v Impl; 


move-result-object vi 
check-cast vi, Lcom/e4a/runtime/components/ü о; 
invoke-static {v1}，Lcom/e4a/runtime/ 应 用 操作 ; -> 切换 窗口 (Lcom/e4a/r 


untime/components/ 窗 口 ; )V 


也 就 是 说 ， 登 录 窗 口 之 后 是 热门 资源 。 我 们 回 到 时 钟 1$ 周 期 事件 ， 找 到 启动 登录 
窗口 的 代码 : 


.line 70 
const-string vO, "Nu767bNu5f55" # 登录 


invoke-static {v0}，Lcom/e4a/runtime/ 应 用 操作 ; -> 读 取 窗口 (Ljava/lang 
/String; )Lcom/e4a/runtime/components/impl/android/ # v Impl; 


move-result-object vO 
check-cast v0, Lcom/e4a/runtime/components/ü о; 
invoke-static {v0}，Lcom/e4a/runtime/ 应 用 操作 ; -> 切换 窗口 (Lcom/e4a/r 


untime/components/ 窗 口 ; )V 


把 最 上 面 那 个 字符 串 改 成 \u70ed\u95e8\u8d44\u6e90 (热门 资源 ) ， 编 译 打包 
安装 之 后 试 试 。 
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热门 资源 
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成 功 跳 过 了 登录 页 面 。 不 过 这 软件 现在 已 经 废 了 ， 只 能 用 来 练 手 了 。 


